ISSN 1977-0618

Официален вестник

на Европейския съюз

L 295

European flag  

Издание на български език

Законодателство

Година 61
21 ноември 2018 г.


Съдържание

 

I   Законодателни актове

Страница

 

 

РЕГЛАМЕНТИ

 

*

Регламент (ЕС) 2018/1724 на Европейския парламент и на Съвета от 2 октомври 2018 година за създаване на единна цифрова платформа за предоставяне на достъп до информация, до процедури и до услуги за оказване на помощ и решаване на проблеми и за изменение на Регламент (ЕС) № 1024/2012 ( 1 )

1

 

*

Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО ( 1 )

39

 

*

Регламент (ЕС) 2018/1726 на Европейския парламент и на Съвета от 14 ноември 2018 година относно Агенцията на Европейския съюз за оперативното управление на широкомащабни информационни системи в пространството на свобода, сигурност и правосъдие (eu-LISA), за изменение на Регламент (ЕО) № 1987/2006 и Решение 2007/533/ПВР на Съвета и за отмяна на Регламент (ЕС) № 1077/2011

99

 

*

Регламент (ЕС) 2018/1727 на Европейския парламент и на Съвета от 14 ноември 2018 година относно Агенцията на Европейския съюз за сътрудничество в областта на наказателното правосъдие (Евроюст) и за замяна и отмяна на Решение 2002/187/ПВР на Съвета

138

 


 

(1)   Текст от значение за ЕИП.

BG

Актовете, чиито заглавия се отпечатват с нормален шрифт, са актове по текущо управление на селскостопанската политика и имат кратък срок на действие.

Заглавията на всички останали актове се отпечатват с удебелен шрифт и се предшестват от звезда.


I Законодателни актове

РЕГЛАМЕНТИ

21.11.2018   

BG

Официален вестник на Европейския съюз

L 295/1


РЕГЛАМЕНТ (ЕС) 2018/1724 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

от 2 октомври 2018 година

за създаване на единна цифрова платформа за предоставяне на достъп до информация, до процедури и до услуги за оказване на помощ и решаване на проблеми и за изменение на Регламент (ЕС) № 1024/2012

(Текст от значение за ЕИП)

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 21, параграф 2 и член 114, параграф 1 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

като взеха предвид становището на Европейския икономически и социален комитет (1),

в съответствие с обикновената законодателна процедура (2),

като имат предвид, че:

(1)

Вътрешният пазар е едно от най-забележителните достижения на Съюза. Той предлага нови възможности за гражданите и предприятията, като осигурява възможност хората, стоките, услугите и капиталите да се движат свободно. Настоящият регламент представлява ключов елемент от стратегията за единния пазар, утвърдена в съобщението на Комисията от 28 октомври 2015 г., озаглавено „Осъвременяване на единния пазар: повече възможности за гражданите и предприятията“. Тази стратегия има за цел разгръщането на пълния потенциал на вътрешния пазар, като се улесняват гражданите и предприятията да се движат в рамките на Съюза и да извършват търговия, да се установят и разширяват стопанската си дейност в чужбина.

(2)

В съобщението на Комисията от 6 май 2015 г., озаглавено „Стратегия за цифров единен пазар за Европа“, се признава ролята на интернет и на цифровите технологии за преобразяването на живота ни и промяната на начина, по който гражданите и предприятията получават достъп до информация, придобиват знания, купуват стоки и услуги, участват на пазара и работят, като по този начин улесняват появата на възможности за иновации, растеж и създаване на работни места. В това съобщение и в няколко резолюции, приети от Европейския парламент, се признава, че потребностите на гражданите и предприятията в техните държави и в чужбина могат да бъдат удовлетворени по-добре чрез разширяване и интегриране на съществуващите на европейско ниво портали, уебсайтове, мрежи, услуги и системи и чрез свързването им с различните национални решения, с което да се създаде „единна цифрова платформа“, която да служи за единна европейска входна точка (наричана по-долу „платформата“). В съобщението на Комисията от 19 април 2016 г., озаглавено „План за действие на ЕС за електронно управление през периода 2016—2020 г. Ускоряване на цифровото преобразуване на управлението“, платформата е посочена като едно от предвидените действия за 2017 г. В доклада на Комисията от 24 януари 2017 г., озаглавен „Укрепване на правата на гражданите в Съюз на демократична промяна — Доклад за гражданството на ЕС, 2017 г.“, платформата се отбелязва като приоритет във връзка с правата на гражданите на Съюза.

(3)

Европейският парламент и Съветът многократно са призовавали за по-цялостен и лесен за ползване пакет от информация и помощ, за съдействие на гражданите и предприятията да се ориентират на вътрешния пазар и за укрепване и рационализиране на инструментите за вътрешния пазар с цел да се отговори по-добре на потребностите на гражданите и предприятията в техните трансгранични дейности.

(4)

С настоящия регламент се отговаря на тези призиви, като на гражданите и предприятията се предоставя лесен достъп до информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, от които те се нуждаят, за да упражняват правата си в рамките на вътрешния пазар. Платформата би могла да допринесе за по-голямата прозрачност на правилата и разпоредбите, свързани с различните събития от стопански и житейски характер, в области, като например пътуване, пенсиониране, образование, заетост, здравеопазване, права на потребителите и на семействата. Освен това тя може да спомогне за повишаване на доверието на потребителите, да разреши проблема с непознаването на правилата за защита на потребителите и на правилата на вътрешния пазар и да намали разходите на предприятията за постигането на съответствие. С настоящия регламент се създава лесна за ползване, интерактивна платформа, която въз основа на потребностите на потребителите следва да ги насочва към най-подходящите услуги. В този контекст Комисията и държавите членки следва да изпълняват важни функции при постигането на тези цели.

(5)

Платформата следва да улеснява взаимодействията между гражданите и предприятията, от една страна, и компетентните органи, от друга страна, чрез предоставянето на достъп до онлайн решения, улесняващи ежедневните дейности на гражданите и предприятията и свеждащи до минимум срещнатите пречки на вътрешния пазар. Съществуването на единна цифрова платформа, която осигурява онлайн достъп до точна и актуална информация, до процедури и до услуги за оказване на помощ и решаване на проблеми, може да спомогне за повишаване на осведомеността на потребителите относно различните съществуващи онлайн услуги, както и да им спести време и разходи.

(6)

Настоящият регламент има три цели, а именно да намали допълнителната административна тежест за гражданите и предприятията, които упражняват или искат да упражняват своите права, свързани с вътрешния пазар, включително свободното движение на гражданите, при пълно спазване на националните правила и процедури, да премахне дискриминацията и да осигури функционирането на вътрешния пазар по отношение на осигуряването на информация, процедури и услуги за оказване на помощ и решаване на проблеми. Тъй като настоящият регламент обхваща свободното движение на гражданите и не може да се счита със само допълващ характер, той следва да се основава на член 21, параграф 2 и член 114, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС).

(7)

За да могат гражданите и предприятията от Съюза да се възползват от правото си на свободно движение в рамките на вътрешния пазар, Съюзът следва да приеме конкретни, недискриминиращи мерки, които да осигурят на гражданите и предприятията възможност за лесен достъп до достатъчно изчерпателна и надеждна информация относно техните права съгласно правото на Съюза и до информация относно приложимите национални правила и процедури, с които те трябва да се съобразяват, когато се преместват, живеят или учат, или когато се установяват или извършват стопанска дейност в държава членка, различна от тяхната собствена. Информацията следва да се счита за достатъчно изчерпателна, ако включва цялата информация, необходима, за да могат потребителите да разберат своите права и задължения и да определят правилата, които се прилагат във връзка с дейностите, които желаят да предприемат като трансгранични потребители. Информацията следва да бъде изложена по ясен, кратък и разбираем начин и да бъде от полза и добре адаптирана към целевата група потребители. Информацията относно процедурите следва да обхваща всички предвидими процедурни стъпки, които са от значение за потребителя. От значение за гражданите и предприятията, сблъскващи се с комплексна регулаторна среда, например в областта на електронната търговия и икономиката на сътрудничеството, е да могат лесно да определят приложимите правила и как те се прилагат за техните дейности. Лесният и удобен за потребителите достъп до информация означава достъп, който дава на потребителя възможност лесно да намира информацията, лесно да определя кои части от нея са от значение в неговия конкретен случай и лесно да разбере съответната информация. Информацията, която трябва да се осигури на национално равнище, следва да се отнася не само до националните правила за прилагане на правото на Съюза, но и до всички други национални правила, които се прилагат както по отношение на нетрансграничните, така и по отношение на трансграничните потребители.

(8)

Правилата за осигуряване на информация в настоящия регламент не следва да се прилагат за националните съдебни системи, тъй като информацията в тази област, която е от значение за трансграничните потребители, вече е включена в портала за електронно правосъдие. В някои случаи, обхванати от настоящия регламент, съдилищата следва да бъдат считани за компетентни органи, например когато управляват търговски регистри. Освен това принципът на недискриминация следва да се прилага и за онлайн процедури, които дават достъп до съдебни производства.

(9)

Ясно е, че гражданите и предприятията от други държави членки могат да бъдат в неизгодно положение поради непознаване на националните правила и административните системи, използването на различни езици и липсата на географска близост с компетентните органи в държава членка, различна от тяхната собствена. Най-ефективният начин за намаляване на произтичащите от това пречки пред вътрешния пазар е да се даде възможност на трансграничните и нетрансграничните потребители да получат достъп до онлайн информация на език, който те разбират, за да могат да извършват процедурите за постигане на съответствие с националните правила изцяло онлайн и да им се предложи помощ, когато правилата и процедурите не са достатъчно ясни или когато срещат пречки при упражняването на правата си.

(10)

Редица актове на Съюза имаха за цел да осигурят решения посредством създаването на секторни звена за обслужване на едно гише, включително чрез единичните звена за контакт, създадени съгласно Директива 2006/123/ЕО на Европейския парламент и на Съвета (3), които предлагат онлайн информация, услуги за оказване на помощ и достъп до процедурите, които са от значение за предоставянето на услуги; звената за контакт относно продуктите, създадени с Регламент (ЕО) № 764/2008 на Европейския парламент и на Съвета (4), и звената за контакт относно продукти в строителството, създадени с Регламент (ЕС) № 305/2011 на Европейския парламент и на Съвета (5), които осигуряват на достъп до специфични за отделни продукти технически правила, както и националните помощни центрове във връзка с професионалните квалификации, създадени с Директива 2005/36/ЕО на Европейския парламент и на Съвета (6), които оказват помощ на специалистите при преместването им през граница. Освен това бяха създадени мрежи, като европейските потребителски центрове, с цел разясняване на правата на потребителите в Съюза и оказване на помощ при разглеждане на жалби във връзка с покупки в други държави членки в рамките на мрежата, при пътуване или пазаруване онлайн. Освен това SOLVIT, посочена в Препоръка 2013/461/ЕС на Комисията (7), има за цел да осигурява бързи, ефективни и неформални решения на гражданите и предприятията, когато публичните органи отказват да признаят техните права, свързани с вътрешния пазар. И на последно място, бяха създадени редица информационни портали, като „Вашата Европа“ във връзка с вътрешния пазар и портала за електронно правосъдие във връзка с пространството на правосъдие, за да се информират потребителите за правилата на Съюза и националните правила.

(11)

Поради секторния характер на тези актове понастоящем осигуряването на онлайн информация и на услуги за оказване на помощ и решаване на проблеми заедно с онлайн процедури за граждани и предприятия продължава да бъде силно фрагментирано. Съществуват несъответствия в наличието на онлайн информация и процедури, има проблеми по отношение на качеството на услугите и липсва осведоменост относно тази информация и тези услуги за оказване на помощ и решаване на проблеми. Трансграничните потребители също изпитват затруднения при намирането и получаването на достъп до тези услуги.

(12)

С настоящия регламент следва да се създаде единна цифрова платформа, чрез която гражданите и предприятията да получат достъп до информация за правилата и изискванията, които те трябва да спазват съгласно правото на Съюза или на националното право. С платформата следва да се опрости контактът на гражданите и предприятията с услугите за оказване на помощ и решаване на проблеми, установени на равнището на Съюза или на национално равнище, и да се подобри ефективността на този контакт. Тази платформа следва също така да улеснява достъпа до онлайн процедури и тяхното извършване. Настоящият регламент по никакъв начин не следва да засяга съществуващите права и задължения съгласно правото на Съюза или националното право в тези области на политиката. По отношение на процедурите, изброени в приложение II към настоящия регламент, както и процедурите, предвидени в директиви 2005/36/ЕО и 2006/123/ЕО, както и в директиви 2014/24/ЕС (8) и 2014/25/ЕС (9) на Европейския парламент и на Съвета, настоящият регламент следва да подкрепя прилагането на принципа на еднократност и следва напълно да зачита основното право на защита на личните данни за целите на обмена на удостоверителни документи между компетентните органи в различните държави членки.

(13)

Платформата и нейното съдържание следва да бъдат насочени към потребителите и да са лесни за ползване. Платформата следва да има за цел да се избегнат припокривания и следва да включва хипервръзки към съществуващите услуги. Тя следва да позволява на гражданите и предприятията да си взаимодействат с публичните органи на национално равнище и на равнището на Съюза, като им осигурява възможност да изпращат обратна информация във връзка с предлаганите чрез платформата услуги и функционирането на вътрешния пазар съобразно техния опит. Инструментът за обратна информация следва да дава възможност на потребителя да посочва забелязаните проблеми, пропуски и потребности с цел да се насърчи непрекъснатото подобряване на качеството на услугите по начин, който позволява на потребителя да остане анонимен.

(14)

Успехът на платформата ще зависи от съвместните усилия на Комисията и на държавите членки. Платформата следва да включва общ потребителски интерфейс, интегриран в съществуващия портал „Вашата Европа“, който ще се управлява от Комисията. Общият потребителски интерфейс следва да включва хипервръзки към наличните на управлявания от компетентните органи на държавите членки и Комисията портал информация, процедури и услуги за оказване на помощ или решаване на проблеми. За да се улесни използването на платформата, общият потребителски интерфейс следва да бъде достъпен на всички официални езици на институциите на Съюза (наричани по-долу „официалните езици на Съюза“). Съществуващият портал „Вашата Европа“ и главната му интернет страница за достъп, адаптирани към изискванията на платформата, следва да запазят този многоезичен подход към осигуряваната информация. Функционирането на платформата следва да бъде основано на технически инструменти, разработени от Комисията в тясно сътрудничество с държавите членки.

(15)

В Хартата за електронните единични звена за контакт съгласно Директива 2006/123/ЕО, която беше одобрена от Съвета през 2013 г., държавите членки са поели доброволен ангажимент да прилагат насочен към потребителя подход при осигуряването на информация чрез единичните звена за контакт, за да бъдат обхванати областите от особено значение за предприятията, включително изискванията във връзка с ДДС, данъците върху доходите, социалната сигурност или трудовото право. Въз основа на Хартата и предвид опита с портала „Вашата Европа“ тази информация следва да съдържа и описание на услугите за оказване на помощ и решаване на проблеми. Гражданите и предприятията следва да могат да използват тези услуги, когато имат проблеми с разбирането на информацията, с нейното приложение в техния случай или с извършването на дадена процедура.

(16)

В настоящия регламент следва да се изброят областите на информация, които са от значение за гражданите и предприятията при упражняването на техните права и изпълнението на техните задължения в рамките на вътрешния пазар. В тези области следва да бъде осигурявана достатъчно изчерпателна информация на национално равнище, включително на регионално и местно равнище, и на равнището на Съюза, за разясняване на приложимите правила и задължения, както и на процедурите, които трябва да извършат гражданите и предприятията, за да се съобразят с тези правила и задължения. За да се гарантира качеството на предлаганите услуги, осигуряваната чрез платформата информация следва да бъде ясна, точна и актуална, използването на сложни понятия следва да се сведе до минимум, а използването на съкращения да се ограничи до тези, които предоставят опростени, лесноразбираеми понятия, които не изискват предварителни познания по въпроса или в тази област на правото. Тази информация следва да е представена по начин, който позволява на потребителите лесно да разберат основните правила и изисквания, приложими в техния случай в посочените области. Също така потребителите следва да бъдат информирани относно липсата в някои държави членки на национални правила в информационните области, изброени в приложение I, особено когато тези области са предмет на национални правила в други държави членки. Такава информация относно липсата на национални правила би могла да бъде включена в портала „Вашата Европа“.

(17)

При възможност информацията, която Комисията вече е събрала от държавите членки съгласно действащото право на Съюза или доброволни договорености, като например информация, събрана за целите на портала на Европейските служби по заетостта (EURES), създаден с Регламент (ЕС) 2016/589 на Европейския парламент и на Съвета (10), европейския портал за електронно правосъдие, създаден с Решение 2001/470/ЕО на Съвета (11), или базата данни за регулираните професии, създадена с Директива 2005/36/ЕО, следва да се използва за получаване на част от информацията, която ще се осигурява на гражданите и предприятията на равнището на Съюза и на национално равнище в съответствие с настоящия регламент. От държавите членки не следва да се изисква да осигуряват на своите национални уебсайтове информация, която вече е налична в съответните бази данни, управлявани от Комисията. Когато държавите членки вече трябва да предоставят онлайн информация съгласно други актове на Съюза, като например Директива 2014/67/ЕС на Европейския парламент и на Съвета (12), следва да е достатъчно държавите членки да включат хипервръзки към съществуващата онлайн информация. Когато определени области на политиката вече са напълно хармонизирани чрез правото на Съюза, например правата на потребителите, осигурената на равнището на Съюза информация следва по принцип да е достатъчна, за да могат потребителите да разберат своите съответни права или задължения. В тези случаи от държавите членки следва да се изисква само да осигурят допълнителна информация относно националните си административни процедури и услуги за оказване на помощ или всякакви други национални административни правила, ако това е от значение за потребителите. Така например информацията относно правата на потребителите не следва да засяга договорното право, а следва само да информира потребителите за техните права съгласно правото на Съюза и националното право в контекста на търговските сделки.

(18)

Настоящият регламент следва да засили свързаното с вътрешния пазар измерение на онлайн процедурите, като по този начин допринесе за цифровизацията на вътрешния пазар, при зачитане на общия принцип на недискриминация, наред с другото — и във връзка с достъпа на гражданите или предприятията до онлайн процедури, които вече са установени на национално равнище въз основа на правото на Съюза или на националното право, както и до процедури, които трябва да бъдат достъпни изцяло онлайн в съответствие с настоящия регламент. Ако потребител, чийто случай е ограничен изцяло до една държава членка, може да получи достъп и да извърши процедура онлайн в тази държава членка в област, попадаща в обхвата на настоящия регламент, то трансграничният потребител също следва да може да получи достъп и да извърши тази процедура онлайн или чрез същото, или чрез алтернативно, обособено от техническа гледна точка решение, което води до същия резултат, без никакви дискриминационни пречки. Тези пречки могат да се състоят от национално разработени решения, като например полета на формуляри, в които се изисква вписването на национални телефонни номера, национални префикси за телефонни номера или национални пощенски кодове, плащане на такси, което може да бъде осъществено единствено чрез системи, при които е невъзможно извършването на трансгранични плащания, липсата на подробни обяснения на език, разбиран от трансграничните потребители, липсата на възможности за представяне на удостоверителен документ в електронен формат от органи, намиращи се в друга държава членка, и неприемането на електронни средства за идентификация, издадени в други държави членки. Държавите членки следва да осигурят решения за преодоляването на тези пречки.

(19)

Когато потребителите извършват трансгранични онлайн процедури, те следва да могат да получат всички необходими разяснения на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители. Това не означава, че от държавите членки се изисква да преведат административните си формуляри, свързани с процедурата, или резултата от тази процедура на този език. Държавите членки обаче се насърчават да използват технически решения, които дават възможност на потребителите да извършат процедурите във възможно най-голяма степен на този език, при зачитане на правилата на държавите членки по отношение на използването на езиците.

(20)

Националните онлайн процедури, които са от значение за трансгранични потребители, за да могат те да упражнят правата си, свързани с вътрешния пазар, се определят в зависимост от това дали потребителите пребивават или са установени в съответната държава членка, или искат достъп до процедурите на тази държава членка, като същевременно пребивават или са установени в друга държава членка. Настоящият регламент не следва да възпрепятства държавите членки да изискват от трансграничните потребители, пребиваващи или установени на тяхната територия, да получат национален идентификационен номер, за да получат достъп до националните онлайн процедури, при условие че това не води до неоправдана допълнителна тежест или разходи за тези потребители. За трансгранични потребители, които не пребивават или не са установени в съответната държава членка, националните онлайн процедури, които нямат значение за упражняването на правата им, свързани с единния пазар — например регистрация с цел да се ползват от местни услуги като събиране на отпадъци или получаване на разрешения за паркиране — не е необходимо да бъдат изцяло достъпни онлайн.

(21)

Настоящият регламент следва да се основава на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета (13), с който се определят условията, при които държавите членки признават някои средства за електронна идентификация на физически и юридически лица, обхванати от нотифицирана схема за електронна идентификация на друга държава членка. В Регламент (ЕС) № 910/2014 са предвидени условията, при които на потребителите е разрешено да използват своите средства за електронна идентификация и установяване на автентичност, за да получат онлайн достъп до обществени услуги в трансгранични ситуации. Институциите, органите, службите и агенциите на Съюза се насърчават да приемат средствата за електронна идентификация и установяване на автентичност за процедурите, за които отговарят.

(22)

В редица секторни актове на Съюза, като например директиви 2005/36/ЕО, 2006/123/ЕО, 2014/24/ЕС и 2014/25/ЕС се изисква процедурите да бъдат изцяло осъществими онлайн. С настоящия регламент следва да се изисква редица други процедури от ключово значение за мнозинството от гражданите и предприятията при упражняването на трансграничните им права и спазването на техните задължения да станат изцяло осъществими онлайн.

(23)

За да се даде възможност на гражданите и предприятията да извличат пряка полза от вътрешния пазар, без да понасят излишна допълнителна административна тежест, с настоящия регламент следва да се изиска пълна цифровизация на потребителския интерфейс на някои ключови за трансграничните потребители процедури, които са изброени в приложение II към настоящия регламент. С настоящия регламент следва също така да се предвидят критериите за определяне на начина, по който тези процедури се квалифицират като изцяло осъществими онлайн. Задължението подобна процедура да бъде изцяло осъществима онлайн следва да се прилага само когато процедурата е предвидена във въпросната държава членка. Настоящият регламент не следва да обхваща първоначалната регистрация на стопанска дейност, процедурите, водещи до учредяване на дружества като правни субекти, или последващо подаване на документи от такива дружества, тъй като тези процедури изискват всеобхватен подход, насочен към улесняване на въвеждането на цифрови решения през всичките етапи на съществуването на дружествата. Когато предприятията се установяват в друга държава членка, от тях се изисква да се регистрират към схема за социална сигурност и към осигурителна схема, за да регистрират своите служители и да плащат вноски и към двете схеми. Може да се наложи те да съобщят своите стопански дейности, да получат разрешения или да регистрират промени в своята стопанска дейност. Тези процедури са общи за предприятията, извършващи дейност в много икономически сектори, и поради това е целесъобразно да се изисква тези процедури да станат осъществими онлайн.

(24)

В настоящия регламент следва да се поясни до какво води предлагането на процедура, изцяло осъществима онлайн. Дадена процедура следва да се счита за изцяло осъществима онлайн, когато потребителят може да предприеме всички стъпки — от достъпа до процедурата до приключването ѝ, като взаимодейства с компетентния орган — „фронт офиса“, по електронен път, от разстояние и чрез онлайн услуга. Чрез тази онлайн услуга потребителят следва да бъде направляван по списък с всички изисквания, които трябва да бъдат изпълнени, и всички удостоверителни документи, които трябва да бъдат представени, като даде възможност на потребителя да предостави информацията и доказателствата за съответствие с всички тези изисквания, както и да му получи автоматично потвърждение за прието искане, освен ако резултатът от процедурата не се съобщава незабавно. Това не следва да възпрепятства компетентните органи да осъществяват пряк контакт с потребителите, когато е необходимо с цел да получат допълнителни разяснения, които са нужни във връзка с процедурата. Съгласно настоящия регламент резултатът от процедурата следва да се предостави от компетентните органи на потребителя и по електронен път, когато е възможно съгласно приложимото право на Съюза и приложимото национално право.

(25)

Настоящият регламент не следва да засяга същността на процедурите, изброени в приложение II, които са установени на национално, регионално или местно равнище, и не предвижда материалноправни разпоредби или процедурни правила в областите, попадащи в обхвата на приложение II, включително в областта на данъчното облагане. Целта на настоящия регламент е да се определят техническите изисквания, за да се гарантира, че такива процедури, в случай че те съществуват в съответната държава членка, са изцяло осъществими онлайн.

(26)

Настоящият регламент следва да не засяга компетентността по отношение на всяка процедура, включително проверката на точността и верността на информацията или представените удостоверителни документи, както и проверката на автентичността, в случай че удостоверителните документи са представени чрез средства, различни от техническата система, основавана на принципа за еднократност. Настоящият регламент не следва да засяга и процедурните работни процеси в рамките на и между компетентните органи — „бек офиса“, независимо дали са цифровизирани или не. Когато е необходимо като част от някои от процедурите за регистриране на промени в стопанската дейност, държавите членки следва да продължат да могат да изискват участието на нотариуси или адвокати, които биха могли да поискат да използват средства за проверка, включително видеоконферентна връзка или други онлайн средства, които осигуряват аудио-визуална връзка в реално време. Такова участие обаче следва да не възпрепятства извършването на процедурите за регистрация на такива промени изцяло онлайн.

(27)

В някои случаи от потребителите може да се изисква да представят удостоверителни документи в подкрепа на факти, които не могат да бъдат установени онлайн. Тези удостоверителни документи могат да включват медицинско свидетелство, доказателство, че лицето е живо, доказателство за техническа изправност на моторните превозни средства или потвърждение на номера на рамата. Ако тези удостоверителни документи могат да бъдат представени в електронен формат, това не би представлявало изключение от принципа, че процедурата следва да е осъществима изцяло онлайн. В други случаи потребителите по дадена процедура все още може да е необходимо да се явяват лично пред компетентния орган като част от онлайн процедура. Всяко подобно изключение, различно от онези, които произтичат от правото на Съюза, следва да бъде ограничено до положения, които са оправдани от императивно съображение, свързано с обществения интерес в областта на обществената сигурност, общественото здраве или борбата с измамите. За да се осигури прозрачност, държавите членки следва да споделят с Комисията и с другите държави членки информация за такива изключения, както и за съображенията за тези изключения и обстоятелствата, при които те могат да се прилагат. От държавите членки не следва да се изисква да докладват за всеки отделен случай, в който личното явяване е било необходимо по изключение, а по-скоро следва да съобщят националните разпоредби, които предвиждат такива случаи. Най-добрите практики на национално равнище и техническите новости, даващи възможност за по-нататъшна цифровизация в това отношение, следва да се обсъждат редовно от координационна група по въпросите на платформата.

(28)

В трансгранични ситуации процедурата за регистрация на промяна на адрес може да обхваща две отделни процедури — една в държавата членка на произход, за да се поиска отписването от стария адрес, и друга в държавата членка на местоназначение, за да се поиска регистрацията на новия адрес. Настоящият регламент следва да обхваща и двете процедури.

(29)

Тъй като цифровизацията на изискванията, процедурите и формалностите, свързани с признаването на професионалните квалификации, вече е обхваната от Директива 2005/36/ЕО, настоящият регламент следва да обхваща само цифровизацията на процедурата за искане на академично признаване на дипломи, свидетелства или други доказателства за завършени курсове на лице, което желае да започне или да продължи да учи, или да използва академично звание, извън формалностите по признаването на професионални квалификации.

(30)

Настоящият регламент следва да не засяга правилата за координация на социалната сигурност, предвидени в регламенти (ЕО) № 883/2004 (14) и (ЕО) № 987/2009 (15) на Европейския парламент и на Съвета, които определят правата и задълженията на осигурените лица и институциите в областта на социалната сигурност, както и процедурите, приложими в областта на координацията на социалната сигурност.

(31)

На равнището на Съюза и на национално равнище бяха създадени няколко мрежи и услуги за оказване на помощ на гражданите и предприятията в трансграничната им дейност. Важно е тези услуги, включително съществуващите услуги за оказване на помощ или решаване на проблеми, установени на равнището на Съюза, като например европейските потребителски центрове, „Вашата Европа — Съвети“, SOLVIT, бюрото за помощ относно правата на интелектуална собственост, Europe Direct и мрежата Enterprise Europe, да са част от платформата, за да се гарантира, че всички потенциални потребители могат да ги открият. Услугите, изброени в приложение III, са създадени с правно обвързващи актове на Съюза, докато други услуги се предоставят на доброволна основа. Услугите, създадени с правно обвързващи актове на Съюза, следва да бъдат обвързани с предвидените в настоящия регламент изисквания за качество. Услугите, предоставяни на доброволна основа, следва да съответстват на тези изисквания за качество, ако се планира те да бъдат достъпни чрез платформата. Настоящият регламент не следва да изменя обхвата и естеството на тези услуги, механизмите на тяхното управление, съществуващите срокове и доброволната, договорна или друга основа, на която се предоставят. Например когато помощта, която се оказва чрез тях, е с неформален характер, настоящият регламент не следва да води до промяна на тази помощ в правен съвет с обвързващ характер.

(32)

Освен това държавите членки и Комисията следва да могат да добавят в платформата други национални услуги за оказване на помощ или решаване на проблеми, които се предоставят от компетентните органи или от частни или подобни на частните организации, или от публични органи, като например търговски камари или неправителствени служби за оказване на помощ за граждани, при предвидените в настоящия регламент условия. По принцип компетентните органи следва да носят отговорност за оказването на помощ на гражданите и предприятията по всякакви техни въпроси по отношение на приложимите правила и процедури, на които не може да се отговори напълно чрез онлайн услугите. Но в тясно специализирани области и когато предоставяната от частните или подобните на частните организации услуга отговаря на потребностите на потребителите, държавите членки могат да предложат на Комисията да включи такива услуги в платформата, при условие че тези услуги отговарят на всички предвидени в настоящия регламент условия и не се припокриват с вече включените услуги за оказване на помощ или решаване на проблеми.

(33)

За да се подпомогнат потребителите при търсенето на подходяща услуга, с настоящия регламент следва да се предвиди инструмент за търсене на услуги за оказване на помощ, който автоматично да ги насочва към нея.

(34)

Постигането на съответствие с минимален списък от изисквания за качество е от основно значение за успеха на платформата, за да се гарантира, че осигуряването на информация или услуги е надеждно, защото в противен случай доверието в платформата като цяло би било сериозно подкопано. Основната цел на постигането на съответствие е да се гарантира, че информацията или услугата е осигурена по ясен и лесен за ползване начин. Държавите членки са отговорни за определянето на начина, по който информацията се осигурява по време на навигацията на потребителя с оглед на постигането на тази цел. Например, макар че е полезно потребителите да бъдат информирани преди започването на процедура за общодостъпните средства за правна защита в случай на отрицателен резултат от процедурата, е много по-удобно за потребителите да им се предостави конкретна информация за възможните стъпки, които трябва да се предприемат в такъв случай, в края на процедурата.

(35)

Достъпността на информацията за трансграничните потребители може да бъде значително подобрена, ако тази информация се предоставя на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители. Този език следва в повечето случаи да бъде най-често изучаваният от потребителите в целия Съюз чужд език, но в някои особени случаи, по-специално по отношение на информацията, която трябва да бъде осигурявана на местно равнище от малки общини в близост до границата на държава членка, най-подходящият език може да бъде използваният като първи език от трансграничните потребители от съседната държава членка. Преводът от официалния език или езици на въпросната държава членка на този друг официален език на Съюза следва да отразява точно съдържанието на информацията, предоставена на оригиналния език или езици. Преводът може да е ограничен до информацията, необходима на потребителите, за да разберат основните правила и изисквания, приложими в техния случай. Въпреки че държавите членки следва да бъдат насърчавани да превеждат възможно най-много информация на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители, обемът на информацията, която трябва да се превежда съгласно настоящия регламент, ще зависи от наличните за тази цел финансови ресурси, по-специално тези от бюджета на Съюза. Комисията следва да вземе подходящи мерки, за да се гарантира ефикасното осигуряване на превод на държавите членки по тяхно искане. Координационната група по въпросите на платформата следва да обсъди и да предостави насоки относно официалния език или езици на Съюза, на които следва да бъде преведена тази информация.

(36)

Съгласно Директива (ЕС) 2016/2102 на Европейския парламент и на Съвета (16) държавите членки трябва да гарантират, че уебсайтовете на техните публични органи са достъпни в съответствие с принципите на лесно разпознаване на елементите, оперативност, разбираемост и стабилност, и че те са съобразени с изискванията, предвидени в тази директива. Комисията и държавите членки следва да гарантират съответствието с Конвенцията на Организацията на обединените нации за правата на хората с увреждания, и по-специално членове 9 и 21 от нея, и за да се насърчи достъпът до информация за хора с интелектуална недостатъчност, следва да се осигурят алтернативи на лесен за четене език във възможно най-голяма степен и в съответствие с принципа на пропорционалност. С ратифицирането на тази конвенция от страна на държавите членки и сключването ѝ от страна на Съюза (17) държавите членки и Съюзът са се ангажирали да предприемат подходящи мерки за осигуряване на достъп за хората с увреждания, равноправно с всички останали, до нови информационни и комуникационни технологии и системи, включително интернет, чрез улесняване на достъпа до информация за хора с интелектуална недостатъчност, с осигуряване на алтернативи на лесен за четене език във възможно най-голяма степен и пропорционално.

(37)

Директива (ЕС) 2016/2102 относно достъпността на уебсайтовете не се прилага за уебсайтове и мобилни приложения на институциите, органите, службите и агенциите на Съюза, но Комисията следва да гарантира, че общият потребителски интерфейс и интернет страниците, за които тя носи отговорност и които ще бъдат включени в платформата, са достъпни за лица с увреждания, което означава, че те са с лесно разпознаваеми елементи, оперативни, разбираеми и стабилни. Лесно разпознаване на елементите означава информацията и компонентите на общия потребителски интерфейс да бъдат представени на потребителите във вид, който могат да възприемат; оперативност означава компонентите на общия потребителски интерфейс и навигацията да бъдат използваеми; разбираемост означава информацията и използването на потребителския интерфейс да бъдат разбираеми; а стабилност означава съдържанието да е достатъчно стабилно, така че да може да бъде надеждно тълкувано от най-различни потребителски агенти, включително помощни технологии. По отношение на понятията „лесно разпознаваеми“, „функционално пригодни“, „разбираеми“ и „стабилни“ Комисията се насърчава да спазва съответните хармонизирани стандарти.

(38)

С цел да се улесни плащането на такси, което се изисква в рамките на онлайн процедури или за предоставяне на услуги за оказване на помощ или решаване на проблеми, трансграничните потребители следва да могат да използват кредитни преводи или директни дебити, посочени в Регламент (ЕС) № 260/2012 на Европейския парламент и на Съвета (18), или други широко използвани трансгранични платежни средства, включително дебитни или кредитни карти.

(39)

От полза за потребителите ще е да бъдат информирани за очакваното време, което може да отнеме дадена процедура. С оглед на това, потребителите следва да бъдат информирани за приложимите крайни срокове или административните или други механизми за даване на мълчаливо съгласие, или, ако няма такива, най-малко за очакваното или приблизителното време, което въпросната процедура обичайно изисква. Тези прогнози или указания следва само да помагат на потребителите при планирането на техните дейности или на всякакви последващи административни действия и не следва да имат никакви правни последици.

(40)

Настоящият регламент следва също така да осигурява възможност за проверка на удостоверителни документи, предоставени в електронен формат от потребителите, когато тези документи са изпратени без електронен печат или сертификат от издаващия компетентен орган или когато не е на разположение техническият инструмент, създаден с настоящия регламент или с друга система, позволяваща пряк обмен или проверка на удостоверителни документи между компетентните органи на различни държави членки. За такива случаи в настоящия регламент следва да се предвиди ефикасен механизъм за административно сътрудничество между компетентните органи на държавите членки, основаващо се на Информационната система за вътрешния пазар (IMI), създадена с Регламент (ЕС) № 1024/2012 на Европейския парламент и на Съвета (19). В такива случаи решението на компетентния орган да използва IMI следва да бъде доброволно, но след като този орган е отправил искане за информация или за сътрудничество чрез IMI, получилият искането компетентен орган следва да бъде задължен да сътрудничи и да даде отговор. Искането може да бъде изпратено чрез IMI до компетентния орган, издаващ удостоверителния документ, или до централния орган, определен от държавите членки в съответствие с административните им правила. За да се избегне излишно дублиране и като се има предвид, че Регламент (ЕС) 2016/1191 на Европейския парламент и на Съвета (20) обхваща част от удостоверителните документи, приложими за процедурите, които попадат в обхвата на настоящия регламент, механизмите за сътрудничество във връзка с IMI, определени в Регламент (ЕС) 2016/1191, може да бъдат използвани и за целите на други удостоверителни документи, необходими за обхванатите от настоящия регламент процедури. Регламент (ЕС) № 1024/2012 следва да бъде изменен, за да се даде възможност на органите, службите или агенциите на Съюза да станат участници в IMI.

(41)

Онлайн услугите, предоставяни от компетентните органи, са от решаващо значение за повишаване на качеството и сигурността на услугите, предоставяни на гражданите и предприятията. Публичните администрации в държавите членки все по-често полагат усилия за повторно използване на данните, като не изискват гражданите и предприятията да предоставят една и съща информация неколкократно. Повторното използване на данните следва да бъде улеснено за трансграничните потребители с цел намаляване на допълнителната тежест.

(42)

За да се даде възможност за законосъобразен трансграничен обмен на удостоверителни документи и информация чрез прилагане на принципа на еднократност на територията на целия Съюз, прилагането на настоящия регламент и на принципа на еднократност следва е съобразено с всички приложими правила за защита на личните данни, включително принципите на свеждане на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност, необходимост, пропорционалност и ограничаване по отношение на целите. Прилагането му следва да се извършва и при пълно спазване на принципите за сигурност и неприкосновеност на личния живот още при проектирането и зачитането на основните права на физическите лица, включително тези, свързани със справедливостта и прозрачността.

(43)

Държавите членки следва да гарантират, че на потребителите на процедурите е осигурена ясна информация относно начина, по който ще бъдат обработени отнасящите се до тях лични данни в съответствие с членове 13 и 14 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (21) и членове 15 и 16 от Регламент (ЕС) 2018/1725 (22).

(44)

С цел допълнително улесняване на използването на онлайн процедурите в съответствие с принципа на еднократност настоящият регламент следва да осигури основата за създаването и използването на напълно оперативна, безопасна и сигурна техническа система за автоматизирания трансграничен обмен на удостоверителни документи между участниците в процедурата, когато е постъпило изрично искане за това от гражданите и предприятията. Когато обменът на удостоверителни документи включва лични данни, искането следва да се счита за изрично, ако съдържа свободно изразено, конкретно, информирано и недвусмислено волеизявление на лицето за обмен на съответните лични данни, със заявление или с потвърдително действие. Ако потребителят не е лицето, за което се отнасят данните, онлайн процедурата не следва да засяга правата му съгласно Регламент (ЕС) 2016/679. Трансграничното прилагане на принципа на еднократност следва да доведе до това гражданите и предприятията да не трябва да предоставят едни и същи данни на публичните органи повече от веднъж, като следва също така да бъде възможно тези данни да се използват по искане на потребителя за целите на извършването на трансгранични онлайн процедури, в които участват трансгранични потребители. За издаващия компетентен орган задължението за използване на техническата система за автоматизиран обмен на удостоверителни документи между различни държави членки следва да се прилага само тогава, когато органи законосъобразно издават в собствената си държава членка удостоверителни документи в електронен формат, който позволява такъв автоматичен обмен.

(45)

Всеки трансграничен обмен на удостоверителни документи следва да има подходящо правно основание, като например директива 2005/36/ЕО, 2006/123/ЕО, 2014/24/ЕС или 2014/25/ЕС, а за процедурите, изброени в приложение II —друго приложимо право на Съюза или национално право.

(46)

Целесъобразно е настоящият регламент да установи като общо правило, че трансграничният автоматизиран обмен на удостоверителни документи се извършва по изрично искане на потребителя. Това изискване обаче не следва да се прилага, когато съответното право на Съюза или национално право дава възможност за автоматичен трансграничен обмен на данни без изрично искане на потребителя.

(47)

Използването на техническата система, създадена с настоящия регламент, следва да продължи да бъде доброволно и потребителят следва да разполага с възможността да представи удостоверителни документи чрез други средства, различни от техническата система. Потребителят следва да има възможност да прегледа удостоверителните документи и право да избере да не се пристъпва към обмен на удостоверителни документи, когато след предварителен преглед на удостоверителните документи, които трябва да бъдат обменени, потребителят установи, че информацията е неточна, остаряла или надхвърля необходимото за целите на въпросната процедура. Данните, включени в прегледа, не следва да се съхраняват за срок, по-дълъг от необходимия в техническо отношение.

(48)

Сигурната техническа система, която следва да бъде създадена, за да се направи възможен обменът на удостоверителни документи съгласно настоящия регламент, следва също така да гарантира на отправилите искането компетентни органи, че удостоверителните документи са представени от правилния издаващ орган. Преди да приеме информацията, предоставена от потребител в рамките на процедура, компетентният орган следва да може да провери информацията, в случай че тя поражда съмнения, и да се увери, че тя е точна.

(49)

Съществуват редица компоненти, които предлагат базови функционалности, които могат да се използват за създаване на техническата система, например Механизмът за свързване на Европа, създаден с Регламент (ЕС) № 1316/2013 на Европейския парламент и на Съвета (23), както и компонентите електронна доставка и електронна идентификация, които са част от посочения механизъм. Тези компоненти се състоят от технически спецификации, модели на софтуер и услуги по поддръжката и имат за цел осигуряването на оперативна съвместимост между съществуващите системи за информационни и комуникационни технологии (ИКТ) на различните държави членки, така че гражданите, предприятията и администрациите да могат да се ползват от безпроблемни цифрови обществени услуги, където и да се намират в Съюза.

(50)

Техническата система, създадена с настоящия регламент, следва да бъде налична в допълнение към други системи за осигуряване на механизми за сътрудничество между съответните органи, като например IMI, и не следва да засяга други системи, включително системата, предвидена в Регламент (ЕО) № 987/2009, единния европейски документ за обществени поръчки съгласно Директива 2014/24/ЕС, системата за електронен обмен на данни за социалната сигурност съгласно Регламент (ЕО) № 987/2009, европейската професионална карта съгласно Директива 2005/36/ЕО, взаимното свързване на националните регистри, взаимното свързване на централните, търговските и дружествените регистри съгласно Директива (ЕС) 2017/1132 на Европейския парламент и на Съвета (24) и взаимното свързване на регистрите по несъстоятелност съгласно Регламент (ЕС) 2015/848 на Европейския парламент и на Съвета (25).

(51)

С цел да се осигурят еднакви условия за прилагането на техническа система, която дава възможност за автоматизиран обмен на удостоверителни документи, на Комисията следва да бъдат предоставени изпълнителни правомощия за определяне по-специално на техническите и оперативните спецификации на система за обработване на исканията от потребител за обмен на удостоверителни документи и за прехвърлянето на такива документи, както и на правилата, необходими за гарантиране на целостта и поверителността на прехвърлянето. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (26).

(52)

За да се гарантира, че техническата система осигурява високо ниво на сигурност за трансграничното прилагане на принципа на еднократност, при приемането на актове за изпълнение за определяне на спецификациите на тази техническа система Комисията следва да взема надлежно предвид стандартите и техническите спецификации, разработвани в рамките на европейските и международните организации и органи по стандартизация, по-специално Европейския комитет по стандартизация (CEN), Европейския институт за стандарти в далекосъобщенията (ETSI), Международната организация по стандартизация (ISO) и Международния съюз по далекосъобщения (ITU), както и стандартите за сигурност, посочени в член 32 от Регламент (ЕС) 2016/679 и член 22 от Регламент (ЕС) 2018/1725.

(53)

При необходимост, с цел осигуряване на разработването, достъпността, поддръжката, надзора, наблюдението и управлението на сигурността на частите от техническата система, за които отговорност носи Комисията, Комисията следва да поиска становището на Европейския надзорен орган по защита на данните.

(54)

Компетентните органи и Комисията следва да гарантират, че информацията, процедурите и услугите, за които те отговарят, са в съответствие с критериите за качество. Националните координатори, определени съгласно настоящия регламент, и Комисията следва редовно да осъществяват надзор за съответствието с критериите за качество и сигурност, съответно на национално равнище и на равнището на Съюза, и да решават всички възникващи проблеми. Националните координатори следва също така да подпомагат Комисията при наблюдението на функционирането на техническата система, позволяваща трансграничния обмен на удостоверителни документи. Настоящият регламент следва да осигури на Комисията набор от средства за справяне с евентуално влошаване на качеството на предлаганите чрез платформата услуги, в зависимост от сериозността и продължителността на това влошаване, като се предвиди възможност за участието на координационната група по въпросите на платформата при необходимост. Това не следва да засяга общата отговорност на Комисията по отношение на наблюдението на спазването на настоящия регламент.

(55)

В настоящия регламент следва да се определят основните функционални възможности на техническите инструменти, които подпомагат функционирането на платформата, и по-специално на общият потребителски интерфейс, регистърът за хипервръзките и общият инструмент за търсене на услуги за оказване на помощ. Общият потребителски интерфейс следва да гарантира, че потребителите могат лесно да намерят информацията, процедурите и услугите за оказване на помощ и решаване на проблеми на националните уебсайтове и уебсайтовете на Съюза. Държавите членки и Комисията следва да се стремят да включват хипервръзки към единен източник на информацията, необходима за платформата, за да се избегне объркване сред потребителите поради наличието на различни, напълно или частично припокриващи се източници на една и съща информация. Това не следва да препятства включването на хипервръзки към аналогична информация, предлагана от местни или регионални компетентни органи по отношение на различни географски области. Това не следва да препятства и известно припокриване на информацията, което е неизбежно или желателно, например когато някои права, задължения и правила в рамките на Съюза са повторени или описани на национални интернет страници, за да се улесни използването им от потребителите. С цел да се сведе до минимум човешката намеса при актуализирането на хипервръзките, които се използват от общия потребителски интерфейс, следва да се установи пряка връзка между съответните технически системи на държавите членки и регистъра за хипервръзки, когато това е технически осъществимо. В общите помощни ИКТ инструменти може да се използва Речникът на основните обществени услуги (CPSV), за да се улесни оперативната съвместимост с каталозите на услугите и семантиката на национално равнище. Държавите членки следва да се насърчават да използват CPSV, но могат да изберат да използват национални решения. До информацията, включена в регистъра за хипервръзки, следва да се осигури публичен достъп в отворен, широко използван и машинночетим формат, например чрез интерфейси за приложно програмиране, за да се даде възможност за нейното повторно използване.

(56)

Системата за търсене на общия потребителски интерфейс следва да отвежда потребителите към информацията, от която се нуждаят, независимо дали тя се намира на интернет страници на Съюза или на национални интернет страници. В допълнение, като друг начин за насочване на потребителите към полезна информация, ще бъде от полза да се създадат хипервръзки между съществуващи и допълнителни уебсайтове или интернет страници, като те се рационализират и групират във възможно най-голяма степен, както и да се създадат хипервръзки между интернет страници на Съюза или национални интернет страници, които осигуряват достъп до онлайн услугите и информацията.

(57)

Настоящият регламент следва също така да установи изисквания за качество за общия потребителски интерфейс. Комисията следва да гарантира, че общият потребителски интерфейс отговаря на тези изисквания, по-специално следва да бъде наличен и достъпен онлайн посредством различни пътища и да е лесен за ползване.

(58)

С цел да се осигурят еднакви условия за прилагането на техническите решения, които подпомагат функционирането на платформата, на Комисията следва да бъдат предоставени изпълнителни правомощия за определяне, когато е необходимо, на приложими стандарти и изисквания за оперативна съвместимост с цел улесняване на намирането на информацията за правилата и задълженията, за процедурите и за услугите за оказване на помощ и решаване на проблеми в рамките на отговорностите на държавите членки и на Комисията. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011.

(59)

Настоящият регламент следва също така ясно да разпределя отговорността между Комисията и държавите членки във връзка с разработването, достъпността, поддръжката и сигурността на ИКТ приложенията, които подпомагат функционирането на платформата. Като част от задачите им по поддръжка, Комисията и държавите членки следва редовно да наблюдават правилното функциониране на тези ИКТ приложения.

(60)

С цел оползотворяване на пълния потенциал на различните области на информация, процедурите и услугите за оказване на помощ и решаване на проблеми, които следва да бъдат включени в платформата, значително трябва да се подобри информираността на целевата аудитория относно тяхното наличие и функциониране. Тяхното включване в платформата следва да направи много по-лесно за потребителите намирането на информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, от които се нуждаят, дори когато не са запознати с тях. Освен това ще са необходими съгласувани дейности за популяризиране, за да се гарантира, че гражданите и предприятията в целия Съюз са запознати със съществуването на платформата и с предлаганите от нея предимства. Тези дейности за популяризиране следва да включват оптимизиране на търсачката и други онлайн мерки за повишаване на осведомеността, тъй като те се отличават с най-висока разходна ефективност и потенциал да достигнат до възможно най-широката целева аудитория. За постигане на максимална ефективност тези дейности за популяризиране следва да бъдат координирани в рамките на координационната група по въпросите на платформата и държавите членки следва да адаптират своите усилия в тази насока, така че да се наложи обща марка във всички съответни контексти, с възможност за използване на обща марка на платформата и национални инициативи.

(61)

Всички институции, органи и агенции на Съюза следва да се насърчават да популяризират платформата чрез включване на нейното лого и на хипервръзки към нея във всички съответни интернет страници, за които те са отговорни.

(62)

Наименованието, с което платформата ще бъде известна и популяризирана сред широката общественост, следва да бъде „Your Europe“. Общият потребителски интерфейс следва да бъде видим и лесен за намиране, особено на съответните национални интернет страници и интернет страници на Съюза. Логото на платформата следва да бъде видимо на съответните национални уебсайтове и уебсайтове на Съюза.

(63)

С цел получаване на подходяща информация за измерване и подобряване на ефективността на платформата в настоящия регламент следва да се изисква компетентните органи и Комисията да събират и анализират данните, свързани с използването на предлаганите чрез платформата различни области на информация, процедури и услуги. Събирането на статистически данни за потребителите — например данни относно броя посещения на конкретни интернет страници, броя на потребителите в дадена държава членка спрямо броя им в други държави членки, ключовите думи, използвани за търсене, най-посещаваните интернет страници, индексиращи интернет страници или броя, произхода и предмета на заявленията на услуги за оказване на помощ — следва да подобри функционирането на платформата, като спомогне за определяне на аудиторията, разработването на дейности за популяризиране и подобряване на качеството на предлаганите услуги. При събирането на тези данни следва да се взема предвид годишната сравнителна оценка на електронното управление, извършвана от Комисията, с цел да се избегне всякакво дублиране.

(64)

С цел да се осигурят еднакви условия за прилагането на настоящия регламент на Комисията следва да бъдат предоставени изпълнителни правомощия за определяне на еднакви правила относно метода за събиране и обмен на статистически данни за потребителите. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011.

(65)

Качеството на платформата зависи от качеството на услугите на Съюза и националните услуги, предоставяни чрез платформата. Следователно качеството на информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, до които има достъп чрез платформата, следва да се наблюдава редовно и чрез инструмента за обратна информация от потребителите, с който от потребителите се иска да правят оценка и да дават обратна информация за обхвата и качеството на използваните от тях информация, процедури или услуги за оказване на помощ и решаване на проблеми. Тази обратна информация следва да бъде събирана в един общ инструмент, до който следва да имат достъп Комисията, компетентните органи и националните координатори. На Комисията следва да бъдат предоставени изпълнителни правомощия с цел гарантиране на еднакви условия за прилагането на настоящия регламент във връзка с общите функционални възможности на инструментите за обратна информация от потребителите, както и с подробните правила за събиране и обмен на обратната информация. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011. Комисията следва да публикува в анонимизирана форма онлайн обобщения на проблемите, породени от информацията, на основните статистически данни за потребителите и на основната обратна информация от потребителите, събирани в съответствие с настоящия регламент.

(66)

В допълнение платформата следва да включва инструмент за обратна информация, който да дава възможност на потребителите да сигнализират доброволно и анонимно за всякакви проблеми и трудности, срещани от тях при упражняване на правата им, свързани с вътрешния пазар. Този инструмент следва да се разглежда само като допълващ механизмите за разглеждане на жалби, тъй като с него не може да се предложи персонализиран отговор на потребителите. Получената информация следва да бъде съчетавана с обобщена информация, получена във връзка с услугите за оказване на помощ и решаване на проблеми относно случаите на тяхното ползване, за да се направи общ преглед на вътрешния пазар, така както той се възприема от потребителите, и да се определят проблемните области, в които е възможно предприемането на бъдещи действия за подобряване на функционирането на вътрешния пазар. Този общ преглед следва да бъде свързан със съществуващите инструменти за докладване, като информационното табло за единния пазар.

(67)

Настоящият регламент не следва да засяга правото на държавите членки да решават кой следва да изпълнява функциите на национален координатор. Държавите членки следва да могат да адаптират свързаните с платформата функции и отговорности на своите национални координатори към своите вътрешни административни структури. Държавите членки следва да могат да определят допълнителни национални координатори, които да изпълняват задачите съгласно настоящия регламент самостоятелно или съвместно с другите, като отговарят за административно подразделение или географски регион, или като се определят съгласно друг критерий. Държавите членки следва да съобщят на Комисията идентификационните данни на определения от тях единствен национален координатор за контакти с Комисията.

(68)

Следва да бъде създадена координационна група по въпросите на платформата, съставена от националните координатори и председателствана от Комисията, с цел да се улесни прилагането на настоящия регламент, по-специално чрез обмен на най-добри практики и съвместна работа за постигане на по-добра съгласуваност на представянето на информацията съгласно изискванията на настоящия регламент. Работата на координационната група по въпросите на платформата следва да е съобразена с целите, определени в годишната работна програма, която Комисията следва да ѝ представи за разглеждане. Годишната работна програма следва да бъде представена под формата на насоки или препоръки с незадължителен характер за държавите членки. Комисията, по искане на Европейския парламент, може да реши да го покани да изпрати експерти, които да присъстват на заседанията на координационната група по въпросите на платформата.

(69)

В настоящия регламент следва да се посочи кои части на платформата се финансират от бюджета на Съюза и кои се поемат от държавите членки. Комисията следва да подпомага държавите членки при набелязването на повторно използваеми ИКТ компоненти и финансиране по линия на различни фондове и програми на Съюза, които могат да допринесат за покриване на разходите за ИКТ адаптации и разработки, необходими на национално равнище с цел спазване на настоящия регламент. Бюджетът, необходим за прилагането на настоящия регламент, следва да бъде съвместим с приложимата многогодишна финансова рамка.

(70)

Държавите членки се насърчават да установят по-тясна координация, обмен и сътрудничество помежду си, за да увеличат своите стратегически, оперативни, научноизследователски и развойни способности в областта на киберсигурността, по-специално чрез прилагането на мрежовата и информационната сигурност съгласно Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (27), с цел укрепване на сигурността и устойчивостта на тяхната публична администрация и услуги. Държавите членки се насърчават да повишат сигурността на операциите и да осигурят достатъчна степен на доверие в електронните средства, като използват рамката eIDAS, установена с Регламент (ЕС) № 910/2014, и по-специално подходящи нива на осигуреност. Държавите членки могат да предприемат мерки в съответствие с правото на Съюза за гарантиране на киберсигурността и предотвратяване на измами с фалшива самоличност или други форми на злоупотреба.

(71)

Когато прилагането на настоящия регламент налага обработването на лични данни, то следва да се извършва в съответствие с правото на Съюза относно защитата на личните данни, и по-специално Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725. Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (28) следва също да се прилага в контекста на настоящия регламент. В съответствие с Регламент (ЕС) 2016/679 държавите членки могат да запазят или да въведат допълнителни условия, включително ограничения, по отношение на обработването на данни, свързани със здравословното състояние, и могат да предвидят по-специални правила относно обработването на личните данни на служителите във връзка със заетостта.

(72)

Настоящият регламент следва да насърчава и улеснява рационализирането на механизмите за управление на предлаганите на платформата услуги. За тази цел Комисията следва, в тясно сътрудничество с държавите членки, да направи преглед на съществуващите механизми за управление и да ги адаптира, когато е необходимо, с цел да се избегнат дублиране и неефективност.

(73)

Целта на настоящия регламент е да се гарантира, че потребителите, които извършват дейност в други държави членки, имат онлайн достъп до изчерпателна, надеждна, достъпна и разбираема национална информация и информация на Съюза относно правата, правилата и задълженията, до онлайн процедури, които могат да се извършват напълно трансгранично, и до услуги за оказване на помощ и решаване на проблеми. Тъй като тази цел не може да бъде постигната в достатъчна степен от държавите членки, а поради обхвата и последиците на настоящия регламент, може да бъде постигната по-добре на равнището на Съюза, Съюзът може да приема мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящият регламент не надхвърля необходимото за постигане на тази цел.

(74)

За да могат държавите членки и Комисията да разработят и приложат необходимите инструменти за осигуряване на действието от настоящия регламент, прилагането на някои от разпоредбите в него следва да започне две години след датата на влизането му в сила. Общинските органи следва да разполагат с най-много четири години след датата на влизане в сила на настоящия регламент за изпълнение на изискването за осигуряване на информация относно правилата, процедурите и услугите за оказване на помощ и решаване на проблеми, за които отговарят. Разпоредбите на настоящия регламент относно процедурите, които ще се предлагат изцяло онлайн, относно трансграничния достъп до онлайн процедури и относно техническата система за трансграничен обмен на удостоверителни документи в съответствие с принципа на еднократност следва започнат да се прилагат най-късно след изтичането на пет години след влизането в сила на настоящия регламент.

(75)

Настоящият регламент зачита основните права и спазва принципите, признати по-специално от Хартата на основните права на Европейския съюз, и следва да се прилага в съответствие с тези права и принципи.

(76)

Беше проведена консултация с Европейския надзорен орган по защита на данните в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (29), който прие становище на 1 август 2017 г. (30),

ПРИЕХА НАСТОЯЩИЯ РЕГЛАМЕНТ:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет

1.   С настоящия регламент се определят правила за:

а)

създаването и функционирането на единна цифрова платформа, с която на гражданите и предприятията се осигурява лесен достъп до висококачествена информация, до ефикасни процедури и до ефективни услуги за оказване на помощ и решаване на проблеми във връзка с правилата на Съюза и националните правила, приложими за граждани и предприятия, които упражняват или възнамеряват да упражняват правата си, произтичащи от правото на Съюза в областта на вътрешния пазар по смисъла на член 26, параграф 2 ДФЕС;

б)

използването на процедури от трансгранични потребители и прилагането на принципа на еднократност във връзка с процедурите, изброени в приложение II към настоящия регламент, и процедурите, предвидени в директиви 2005/36/ЕО, 2006/123/ЕО, 2014/24/ЕС и 2014/25/ЕС;

в)

докладването относно пречките в рамките на вътрешния пазар въз основа на събирането на обратна информация от потребителите и на статистически данни от предлаганите от платформата услуги.

2.   При противоречие между настоящия регламент и разпоредба на друг акт на Съюза, с който се уреждат конкретни аспекти на предмета, попадащ в обхвата на настоящия регламент, предимство има разпоредбата на съответния друг акт на Съюза.

3.   Настоящият регламент не засяга същността на която и да е процедура, установена на равнището на Съюза или на национално равнище във всяка от областите, уредени с настоящия регламент, нито правата, предоставени по такава процедура. Освен това, настоящият регламент не засяга мерките, предприети в съответствие с правото на Съюза за гарантиране на киберсигурността и предотвратяването на измами.

Член 2

Създаване на единната цифрова платформа

1.   Създава се единна цифрова платформа (наричана по-долу „платформата“) от Комисията и държавите членки в съответствие с настоящия регламент. Платформата включва общ потребителски интерфейс, управляван от Комисията (наричан по-долу „общият потребителски интерфейс“), който е интегриран в портала „Вашата Европа“ и който осигурява достъп до съответните интернет страници на Съюза и национални интернет страници.

2.   Платформата дава достъп до:

а)

информация относно предвидените в правото на Съюза и в националното право задължения, права и правила, приложими по отношение на потребители, които упражняват или възнамеряват да упражняват правата си, произтичащи от законодателството на Съюза в областта на вътрешния пазар в областите, изброени в приложение I;

б)

информация за онлайн и офлайн процедури и хипервръзки към онлайн процедури, включително процедурите, попадащи в обхвата на приложение II, установени на равнището на Съюза или на национално равнище, с цел да се даде възможност на потребителите да упражняват правата и да спазват задълженията и правилата в областта на вътрешния пазар в областите, изброени в приложение I;

в)

информация и хипервръзки към услуги за оказване на помощ и решаване на проблеми, които са изброени в приложение III или посочени в член 7 и които гражданите и предприятията могат да използват, ако имат въпроси или проблеми, свързани с правата, задълженията, правилата или процедурите, посочени в букви а) и б) от настоящия параграф.

3.   Общият потребителски интерфейс е достъпен на всички официални езици на Съюза.

Член 3

Определения

За целите на настоящия регламент се прилагат следните определения:

1)

„потребител“ означава гражданин на Съюза, физическо лице, пребиваващо в държава членка, или юридическо лице със седалище в държава членка, което осъществява достъп чрез платформата до посочените в член 2, параграф 2 информация, процедури или услуги за оказване на помощ или решаване на проблеми;

2)

„трансграничен потребител“ означава потребител, който се намира в ситуация, която не е ограничена във всяко едно отношение само до една държава членка;

3)

„процедура“ означава последователност от действия, които трябва да бъдат извършени от потребителите, за да се изпълнят изискванията или за да се получи решение от компетентен орган с цел получаване на възможност за упражняване на правата им съгласно член 2, параграф 2, буква а);

4)

„компетентен орган“ означава всеки орган или структура на държава членка, създаден(а) на национално, регионално или местно равнище с конкретни отговорности във връзка с информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, обхванати от настоящия регламент;

5)

„удостоверителен документ“ означава всеки документ или данни, включително текст или звук, визуален или аудио-визуален запис, независимо от използвания носител, който се изисква от компетентен орган с цел доказване на факти или на спазване на процедурни изисквания, посочени в член 2, параграф 2, буква б).

ГЛАВА II

УСЛУГИ, ОСИГУРЯВАНИ ОТ ПЛАТФОРМАТА

Член 4

Достъп до информация

1.   Държавите членки гарантират, че чрез националните им интернет страници потребителите имат лесен онлайн достъп до:

а)

информация относно посочените в член 2, параграф 2, буква а) права, задължения и правила, които произтичат от националното право;

б)

информация относно посочените в член 2, параграф 2, буква б) процедури, които са установени на национално равнище;

в)

информация относно посочените в член 2, параграф 2, буква в) услуги за оказване на помощ и решаване на проблеми, които се предоставят на национално равнище.

2.   Комисията гарантира, че порталът „Вашата Европа“ осигурява на потребителите лесен онлайн достъп до:

а)

информация относно посочените в член 2, параграф 2, буква а) права, задължения и правила, които произтичат от правото на Съюза;

б)

информация относно посочените в член 2, параграф 2, буква б) процедури, които са установени на равнището на Съюза;

в)

информация относно посочените в член 2, параграф 2, буква в) услуги за оказване на помощ и решаване на проблеми, които се предоставят на равнището на Съюза.

Член 5

Достъп до информация, която не е включена в приложение I

1.   Държавите членки и Комисията могат да включат хипервръзки към информация, която не е посочена в приложение I, предлагана от компетентните органи, Комисията или органите, службите и агенциите на Съюза, при условие че тази информация попада в обхвата на платформата, определен в член 1, параграф 1, буква а), и отговаря на изискванията за качество, предвидени в член 9.

2.   Хипервръзките към информацията, посочена в параграф 1 от настоящия член, се включват в съответствие с член 19, параграфи 2 и 3.

3.   Преди да активира хипервръзките, Комисията се уверява, че са изпълнени условията, предвидени в параграф 1, и се консултира с координационната група по въпросите на платформата.

Член 6

Процедури, предлагани изцяло онлайн

1.   Всяка държава членка гарантира, че потребителите могат да имат достъп и да извършат всяка от изброените в приложение II процедури изцяло онлайн, при условие че съответната процедура е въведена в съответната държава членка.

2.   Процедурите, посочени в параграф 1, се считат за осъществими изцяло онлайн, когато:

а)

идентифицирането на потребителите, предоставянето на информация и на удостоверителни документи, подписването и окончателното подаване могат да бъдат извършени по електронен път от разстояние, по служебен път, който дава възможност на потребителите да изпълнят изискванията, свързани с процедурата, по лесен за ползване и структуриран начин;

б)

потребителите получават автоматично потвърждение за прието искане, освен ако резултатът от процедурата не се съобщава незабавно;

в)

резултатът от процедурата се предоставя по електронен път или, когато е необходимо с цел спазване на приложимото право на Съюза или национално право —по физически път; както и

г)

потребителите се уведомяват електронно за приключването на процедурата.

3.   Когато в изключителни случаи, обосновани от императивни съображения от обществен интерес в областта на обществената сигурност, общественото здраве или борбата с измамите, поставената цел не може да бъде постигната изцяло онлайн, държавите членки може да изискат, като етап от процедурата, потребителят да се яви лично пред компетентния орган. В такива изключителни случаи държавите членки ограничават такова лично явяване до това, което е абсолютно необходимо и обективно обосновано, и гарантират, че другите етапи на процедурата може да бъдат извършени изцяло онлайн. Държавите членки гарантират също така, че изискванията за лично явяване не водят до дискриминация на трансграничните потребители.

4.   Държавите членки съобщават и обясняват посредством общ регистър, до който Комисията и другите държави членки разполагат с достъп, съображенията и обстоятелствата, при които може да се изисква лично явяване за процедурните етапи, посочени в параграф 3, и съображенията и обстоятелствата, при които е необходимо предоставяне на резултата по физически път съгласно параграф 2, буква в).

5.   Настоящият член не е пречка държавите членки да предлагат на потребителите допълнителната възможност за достъп до процедурите и тяхното извършване съгласно член 2, параграф 2, буква б), по начини, различни от този по онлайн път, или да осъществяват пряк контакт с потребителите.

Член 7

Достъп до услуги за оказване на помощ и решаване на проблеми

1.   Държавите членки и Комисията гарантират, че потребителите, включително трансграничните потребители, имат лесен онлайн достъп по различни пътища до посочените в член 2, параграф 2, буква в) услуги за оказване на помощ и решаване на проблеми.

2.   Националните координатори, посочени в член 28, и Комисията могат да включат хипервръзки към услуги за оказване на помощ или решаване на проблеми, предлагани от компетентните органи, Комисията или органите, службите и агенциите на Съюза, различни от изброените в приложение III, в съответствие с член 19, параграфи 2 и 3, при условие че тези услуги отговарят на предвидените в членове 11 и 16 изисквания за качество.

3.   Когато е необходимо да се отговори на потребностите на потребителите, националният координатор може да предложи на Комисията в платформата да бъдат включени хипервръзки към предоставяни от частни или подобни на частните организации услуги за оказване на помощ или решаване на проблеми, когато тези услуги отговарят на следните условия:

а)

предлагат информация или помощ в областите и за целите, попадащи в обхвата на настоящия регламент, и допълват услугите, които вече са включени в платформата;

б)

предлагат се безплатно или на цена, която е достъпна за микропредприятията, организациите с нестопанска цел и гражданите; и

в)

отговарят на изискванията, предвидени в членове 8, 11 и 16.

4.   Когато националният координатор е предложил включването на дадена хипервръзка в съответствие с параграф 3 от настоящия член и създаде тази хипервръзка в съответствие с член 19, параграф 3, Комисията преценява дали услугата, която ще бъде включена чрез хипервръзката, отговаря на условията, посочени в параграф 3 от настоящия член, и ако това е така, активира хипервръзката.

Когато Комисията установи, че услугата, която ще бъде включена, не отговаря на условията по параграф 3, тя информира националния координатор за причините, поради които хипервръзката не е активирана.

Член 8

Изисквания за качество, свързани с достъпността на уебсайтовете

Комисията прави по-достъпни тези свои уебсайтове и интернет страници, чрез които осигурява достъп до информацията, посочена в член 4, параграф 2, и до услугите за оказване на помощ и решаване на проблеми, посочени в член 7, като ги прави лесно разпознаваеми, оперативни, разбираеми и стабилни.

ГЛАВА III

ИЗИСКВАНИЯ ЗА КАЧЕСТВО

РАЗДЕЛ 1

Изисквания за качество, свързани с информацията относно правата, задълженията и правилата, относно процедурите и относно услугите за оказване на помощ и решаване на проблеми

Член 9

Качество на информацията относно правата, задълженията и правилата

1.   Когато държавите членки и Комисията отговарят в съответствие с член 4 за осигуряването на достъп до информацията, посочена в член 2, параграф 2, буква а), те гарантират, че тази информация отговаря на следните изисквания:

а)

да е лесна за ползване, като дава възможност на потребителите лесно да намират и разбират информацията и да определят лесно кои части от информацията са от значение за техния конкретен случай;

б)

да е точна и достатъчно изчерпателна, така че да обхваща информацията, с която потребителите трябва да са запознати, за да упражняват правата си в пълно съответствие с приложимите правила и задължения;

в)

да включва препратки, хипервръзки към правни актове, технически спецификации и насоки, когато е целесъобразно;

г)

да включва наименованието на компетентния орган или на субекта, отговорен за съдържанието на информацията;

д)

да включва данните за контакт на всички съответни служби за оказване на помощ или решаване на проблеми, например телефонен номер, адрес за електронна поща, онлайн формуляр за запитвания или всякакви други често използвани средства за електронна комуникация, които са най-подходящи за вида на предлаганата услуга и за целевата аудитория на тази услуга;

е)

да включва датата на последно актуализиране на информацията, ако има такова, или когато информацията не е актуализирана, датата на публикуване на информацията;

ж)

да е добре структурирана и представена, така че потребителите да могат бързо да намерят информацията, от която се нуждаят;

з)

съдържанието ѝ да се актуализира редовно; и

и)

да е написана на ясен и разбираем език, който е адаптиран към нуждите на целевите потребители.

2.   Държавите членки осигуряват достъп до информацията, посочена в параграф 1 от настоящия член, на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители, в съответствие с член 12.

Член 10

Качество на информацията относно процедурите

1.   Държавите членки и Комисията гарантират, че за целите на спазването на член 4, преди да е необходимо потребителите да се идентифицират преди започването на процедурата, те имат достъп до достатъчно изчерпателно, ясно и лесно за ползване обяснение относно следните елементи, доколкото е приложимо, от процедурите, посочени в член 2, параграф 2, буква б):

а)

съответните етапи на процедурата, които се предприемат от потребителя, включително всяко изключение по член 6, параграф 3 от задължението на държавите членки да предлагат процедурата изцяло онлайн;

б)

наименованието на компетентния орган, отговорен за процедурата, включително данните за контакт;

в)

приеманите средства за удостоверяване на автентичност, за идентификация и за подписване в рамките на процедурата;

г)

вида и формата на удостоверителните документи, които трябва да се представят;

д)

средствата за правна защита или обжалване, които обикновено са налични в случай на спор с компетентните органи;

е)

приложимите такси и начините на плащане онлайн;

ж)

всички срокове, които потребителят или компетентният орган трябва да спазва и — когато няма краен срок — очакваният или приблизителният среден срок, който е необходим на компетентния орган, за да извърши процедурата;

з)

всички правила, приложими при липсата на отговор от компетентния орган, както и правни последици за потребителя в такъв случай, включително мълчаливо съгласие или административни механизми за даване на мълчаливо съгласие;

и)

всички допълнителни езици, на които може да бъде извършена процедурата.

2.   Ако не са предвидени мълчаливо съгласие, непроизнасяне в срок или подобни механизми, компетентните органи уведомяват, когато е приложимо, потребителите за всяко забавяне и за всяко удължаване на сроковете или за евентуалните последици от това.

3.   Ако обяснението, посочено в параграф 1, вече е на разположение на нетрансграничните потребители, то може да се използва или да се използва повторно за целите на настоящия регламент, при условие че то обхваща случаите на трансграничните потребители, когато е приложимо.

4.   Държавите членки осигуряват достъп до обяснението, посочено в параграф 1 от настоящия член, на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители, в съответствие с член 12.

Член 11

Качество на информацията относно услугите за оказване на помощ и решаване на проблеми

1.   Държавите членки и Комисията гарантират, че за целите на спазването на член 4, преди да подадат искане за услуга, посочена в член 2, параграф 2, буква в), потребителите имат достъп до ясно и лесно за ползване обяснение относно следните елементи:

а)

вид, цел и очаквани резултати от предлаганата услуга;

б)

данни за контакт на субектите, отговорни за услугата, например телефонен номер, адрес на електронна поща, онлайн формуляр за запитвания или всякакви други често използвани средства за електронна комуникация, които са най-подходящи за вида на предлаганата услуга и за целевата аудитория на тази услуга;

в)

когато е приложимо — приложимите такси и начините на плащане онлайн;

г)

всички приложими крайни срокове, които трябва да се спазват, а когато няма такива — средната или приблизителната продължителност на срока, необходим за предоставяне на услугата;

д)

всякакви допълнителни езици, на които може да бъде подадено искането и които могат да се използват при последващи контакти.

2.   Държавите членки осигуряват достъп до обяснението, посочено в параграф 1 от настоящия член, на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители, в съответствие с член 12.

Член 12

Превод на информацията

1.   Когато държава членка не предоставя информацията, обясненията и указанията, посочени в членове 9, 10 и 11 и в член 13, параграф 2, буква а) на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители, тази държава членка изисква от Комисията да осигури превод на този език в рамките на наличния бюджет на Съюза съгласно член 32, параграф 1, буква в).

2.   Държавите членки гарантират, че текстовете, предадени за превод съгласно параграф 1 от настоящия член, обхващат най-малко основната информация във всички области, изброени в приложение I, а когато разполагат с достатъчен бюджет на Съюза — и всяка допълнителна информация, обяснения и указания, посочени в членове 9, 10 и 11 и в член 13, параграф 2, буква а), като се отчитат най-важните потребности на трансграничните потребители. Държавите членки включват хипервръзки към преведената информация в регистъра за хипервръзки, посочен в член 19.

3.   Езикът, посочен в параграф 1, е официалният език на Съюза, който се изучава най-широко като чужд език от потребителите в Съюза. По изключение, когато се очаква информацията, обясненията или указанията, които ще бъдат преведени, да представляват интерес преимуществено за трансгранични потребители с произход само от една друга държава членка, езикът, посочен в параграф 1, може да бъде официалният език на Съюза, използван като първи език от тези трансгранични потребители.

4.   Когато дадена държава членка поиска превод на официален език на Съюза, различен от най-често изучавания чужд език от потребителите в Съюза, тя надлежно обосновава искането си. Когато Комисията установи, че посочените в параграф 3 условия за избор на такъв друг език не са изпълнени, тя може да отхвърли искането, като информира държавата членка за основанията за това.

РАЗДЕЛ 2

Изисквания, свързани с онлайн процедурите

Член 13

Трансграничен достъп до онлайн процедури

1.   Държавите членки гарантират, че когато дадена процедура, посочена в член 2, параграф 2, буква б) и установена на национално равнище е достъпна за нетрансграничните потребители и може да се извършва онлайн от тях, тя е достъпна и за трансграничните потребители и може да се извършва онлайн от тях по недискриминационен начин, посредством същото или алтернативно техническо решение.

2.   Държавите членки гарантират, че при посочените в параграф 1 от настоящия член процедури са спазени най-малко следните изисквания:

а)

потребителите имат възможност за достъп до указанията за извършване на процедурата на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители, в съответствие с член 12;

б)

трансграничните потребители могат да представят исканата информация, включително когато структурата на тази информация се различава от структурата на подобна информация в съответната държава членка;

в)

трансграничните потребители имат възможност да се идентифицират и да удостоверяват автентичност, да подписват или подпечатват документи по електронен път, както е предвидено в Регламент (ЕС) № 910/2014, във всички случаи, в които това е възможно и за нетрансграничните потребители;

г)

трансграничните потребители имат възможност да предоставят удостоверителни документи за съответствието с приложимите изисквания и да получат резултата от процедурите в електронен формат във всички случаи, в които това е възможно и за нетрансграничните потребители;

д)

когато извършването на процедура изисква плащане, потребители имат възможност да заплащат всякакви такси онлайн чрез широко достъпни трансгранични платежни услуги, без дискриминация, основана на мястото на установяване на доставчика на платежната услуга, на мястото на издаване на платежния инструмент или на мястото на платежната сметка в рамките на Съюза.

3.   Когато процедурата не изисква електронна идентификация или удостоверяване на автентичността съгласно параграф 2, буква в) и когато съгласно приложимото национално право или административна практика е допустимо компетентните органи да приемат копия в цифров вид на неелектронни документи за удостоверяване на самоличност, като например лични карти или паспорти по отношение на нетрансграничните потребители, тези органи трябва да приемат такива копия в цифров вид и по отношение на трансгранични потребители.

Член 14

Техническа система за трансграничен автоматизиран обмен на удостоверителни документи и за прилагане на принципа на еднократност

1.   За целите на обмена на удостоверителни документи за онлайн процедурите, изброени в приложение II към настоящия регламент, и за процедурите, предвидени в директиви 2005/36/ЕО, 2006/123/ЕО, 2014/24/ЕС и 2014/25/ЕС, Комисията, в сътрудничество с държавите членки, установява техническа система за автоматизиран обмен на удостоверителни документи между компетентните органи в различни държави членки (наричана по-долу „техническата система“).

2.   Когато компетентните органи издават, законосъобразно в рамките на своята държава членка и в електронен формат, който позволява автоматизиран обмен, удостоверителни документи, които са от значение за онлайн процедурите, посочени в параграф 1, те също така предоставят тези удостоверителни документи на отправилите искането компетентни органи от други държави членки в електронен формат, позволяващ автоматизиран обмен.

3.   Техническата система по-специално:

а)

позволява обработване на искания за удостоверителен документ по изрично искане на потребителя;

б)

позволява обработване на искания за получаване на достъп до удостоверителен документ или за обмен на удостоверителен документ;

в)

позволява предаване на удостоверителен документ между компетентните органи;

г)

позволява обработване на удостоверителния документ от отправилия искането компетентен орган;

д)

гарантира поверителността и целостта на удостоверителния документ;

е)

дава възможност потребителят да прегледа удостоверителния документ, който ще бъде използван от отправилия искането компетентен орган и да избере дали да се пристъпи към обмен на удостоверителния документ;

ж)

гарантира подходящо ниво на оперативна съвместимост с други съответни системи;

з)

гарантира високо равнище на сигурност при предаването и обработването на удостоверителните документи.

и)

не обработва удостоверителни документи извън това, което е строго необходимо в техническо отношение за обмена на удостоверителни документи, като това обработване се извършва само в рамките на необходимия за тази цел срок.

4.   Използването на техническата система не е задължително за потребителите и се допуска само по тяхно изрично искане, освен ако не е предвидено друго в правото на Съюза или в националното право. Потребителите имат право да подадат удостоверителния документ по друг, различен от техническата система начин, както и пряко до отправилия искането компетентен орган.

5.   Възможността да бъде прегледан удостоверителният документ, посочена в параграф 3, буква е) от настоящия член, не се изисква при процедурите, при които е допустим автоматизираният трансграничен обмен на данни без такъв преглед съгласно приложимото право на Съюза или националното право. Възможността за преглед на удостоверителния документ не засяга задължението за предоставяне на информацията съгласно членове 13 и 14 от Регламент (ЕС) 2016/679.

6.   Държавите членки включват изцяло оперативната техническата система като част от процедурите, посочени в параграф 1.

7.   Компетентните органи, отговорни за посочените в параграф 1 онлайн процедури, по изрично, свободно изразено, конкретно, информирано и недвусмислено искане на съответния потребител изискват даден удостоверителен документ чрез техническата система пряко от компетентните органи, издаващи удостоверителния документ в други държави членки. Издаващите компетентни органи, посочени в параграф 2, предоставят чрез същата система достъп до такъв удостоверителен документ в съответствие с параграф 3, буква д).

8.   Удостоверителният документ, до който е предоставен достъп на отправилия искането компетентен орган, се ограничава до това, което е било поискано, и се използва единствено от получаващия орган за целите на процедурата, за която удостоверителният документ е бил обменен. Приема се, че удостоверителните документи, обменени чрез техническата система за целите на отправилия искането компетентен орган, са автентични.

9.   До 12 юни 2021 г. Комисията приема актове за изпълнение, в които определя техническите и оперативните спецификации на техническата система, необходима за прилагането на настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 37, параграф 2.

10.   Параграфи 1 — 8 не се прилагат по отношение на процедури, установени на равнището на Съюза, в които се предвиждат различни механизми за обмен на удостоверителни документи, освен ако техническата система, необходима за прилагането на настоящия член, не е включена в тези процедури в съответствие с правилата на актовете на Съюза, с които се установяват тези процедури.

11.   Комисията и всяка от държавите членки отговарят за разработването, достъпността, поддръжката, надзора, наблюдението и управлението на сигурността на съответните им части от техническата система.

Член 15

Проверка на удостоверителни документи между държавите членки

Когато техническата система или други системи за обмен или проверка на удостоверителни документи между държавите членки, са недостъпни или неприложими или когато потребителят не е поискал използването на техническата система, компетентните органи си сътрудничат чрез Информационната система за вътрешния пазар (IMI), когато това е необходимо с цел проверка на автентичността на удостоверителните документи, подадени от потребителя до някой от тях в електронен формат за целите на онлайн процедура.

РАЗДЕЛ 3

Изисквания за качество, свързани с услугите за оказване на помощ и решаване на проблеми

Член 16

Изисквания за качество, свързани с услугите за оказване на помощ и решаване на проблеми

В рамките на съответната си компетентност компетентните органи и Комисията гарантират, че услугите за оказване на помощ и решаване на проблеми, изброени в приложение III, и услугите, включени в платформата в съответствие с член 7, параграфи 2, 3 и 4, отговарят на следните изисквания за качество:

а)

предоставят се в разумен срок, като се взема предвид сложността на искането;

б)

при удължаване на сроковете потребителите се информират предварително за основанията за това и за определения нов срок;

в)

когато за предоставянето на услуга е необходимо плащане, потребителите имат възможност да заплащат всякакви такси онлайн чрез широко достъпни трансгранични платежни услуги, без дискриминация, основана на мястото на установяване на доставчика на платежната услуга, на мястото на издаване на платежния инструмент или на мястото на платежната сметка в рамките на Съюза.

РАЗДЕЛ 4

Наблюдение на качеството

Член 17

Наблюдение на качеството

1.   В рамките на съответната си компетентност, националните координатори, посочени в член 28, и Комисията наблюдават съответствието на информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, достъпни чрез платформата, с предвидените в членове 8 — 13 и в член 16 изисквания за качество. Наблюдението се извършва въз основа на данните, събрани в съответствие с членове 24 и 25.

2.   В случай на влошаване на качеството на осигуряваните от компетентните органи информация, процедури и услуги по оказване на помощ или решаване на проблеми, посочени в параграф 1, Комисията, като взема предвид сериозността и продължителността на влошаването, предприема една или повече от следните мерки:

а)

информира съответния национален координатор и отправя искане за предприемане на коригиращо действие;

б)

представя за обсъждане в координационната група по въпросите на платформата препоръки за действия за подобряване на съответствието с изискванията за качество;

в)

изпраща писмо с препоръки до съответната държава членка;

г)

временно прекъсва достъпа от платформата до съответната информация, процедура или услуга за оказване на помощ или решаване на проблеми.

3.   Когато дадена услуга за оказване на помощ или решаване на проблеми, за която са включени хипервръзки в съответствие с член 7, параграф 3, трайно не съответства на изискванията, предвидени в членове 11 и 16, или вече не отговаря на потребностите на потребителите предвид данните, събрани в съответствие с членове 24 и 25, Комисията, след консултация със съответния национален координатор и когато е необходимо — с координационната група по въпросите на платформата, може да прекъсне достъпа от платформата до нея.

ГЛАВА IV

ТЕХНИЧЕСКИ РЕШЕНИЯ

Член 18

Общ потребителски интерфейс

1.   Комисията, в тясно сътрудничество с държавите членки, осигурява общ потребителски интерфейс, интегриран в портала „Вашата Европа“, за да гарантира правилното функциониране на платформата.

2.   Общият потребителски интерфейс осигурява достъп до информацията, процедурите и услугите за оказване на помощ или решаване на проблеми посредством хипервръзки към съответните уебсайтове или интернет страници на Съюза и национални уебсайтове или интернет страници, включени в посочения в член 19 регистър за хипервръзки.

3.   Държавите членки и Комисията, като действат съобразно своите съответни функции и отговорности съгласно предвиденото в член 4, гарантират, че информацията относно правилата и задълженията, относно процедурите и относно услугите за оказване на помощ и решаване на проблеми е организирана и обозначена по начин, който улеснява намирането ѝ чрез общ потребителския интерфейс.

4.   Комисията гарантира, че общият потребителски интерфейс отговаря на следните изисквания за качество:

а)

лесен е за ползване;

б)

достъпен е онлайн чрез различни електронни устройства;

в)

разработен е и е оптимизиран за различни уеб браузъри;

г)

отговаря на следните изисквания за достъпност на уебсайтовете: лесно разпознаване на елементите, оперативност, разбираемост и стабилност.

5.   Комисията може да приема актове за изпълнение за определяне на изисквания за оперативна съвместимост с цел улесняване на намирането на информацията относно правилата и задълженията, относно процедурите и относно услугите за оказване на помощ и решаване на проблеми чрез общия потребителски интерфейс. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 37, параграф 2.

Член 19

Регистър за хипервръзки

1.   Комисията, в тясно сътрудничество с държавите членки, създава и поддържа електронен регистър за хипервръзки към посочените в член 2, параграф 2 информация, процедури и услуги за оказване на помощ и решаване на проблеми, който позволява осъществяването на връзка между тези услуги и общия потребителски интерфейс.

2.   Комисията въвежда в регистъра за хипервръзки хипервръзките към информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, достъпни на управляваните на равнището на Съюза интернет страници, и поддържа тези връзки точни и актуални.

3.   Националните координатори включват в регистъра за хипервръзки хипервръзките към информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, достъпни на управляваните от компетентните органи или от частните или подобните на частни организации интернет страници съгласно член 7, параграф 3, и поддържат тези връзки точни и актуални.

4.   Когато е технически възможно, включването на хипервръзки, посочено в параграф 3, може да се извършва автоматично между съответните системи на държавите членки и регистъра за хипервръзки.

5.   Комисията осигурява публичен достъп в отворен и машинночетим формат до съдържащата се в регистъра за хипервръзки информация.

6.   Комисията и националните координатори гарантират, че при предлаганите чрез платформата хипервръзки към информация, процедури и услуги за оказване на помощ или решаване на проблеми няма каквото и да било ненужно пълно или частично дублиране и припокриване, които може да объркат потребителите.

7.   Когато предоставянето на посочената в член 4 информация е предвидено в други разпоредби на правото на Съюза, Комисията и националните координатори могат да включат хипервръзки към тази информация, за да се осигури съответствие с изискванията на посочения член.

Член 20

Общ инструмент за търсене на услуги за оказване на помощ

1.   За да се улесни достъпът до услугите за оказване на помощ и решаване на проблеми, изброени в приложение III или посочени в член 7, параграфи 2 и 3, компетентните органи и Комисията гарантират, че потребителите могат да получат достъп до тях чрез общ инструмент за търсене на услуги за оказване на помощ и решаване на проблеми (наричан по-долу „общият инструмент за търсене на услуги за оказване на помощ“), достъпен на платформата.

2.   Комисията разработва и управлява общия инструмент за търсене на услуги за оказване на помощ и взема решения относно структурата и формата, в които трябва да се предоставят описанията и данните за контакт във връзка с услугите за оказване на помощ и решаване на проблеми, за да се осигури правилното функциониране на общия инструмент за търсене на услуги за оказване на помощ.

3.   Националните координатори предоставят на Комисията описанията и данните за контакт, посочени в параграф 2.

Член 21

Отговорности във връзка с ИКТ приложенията, които подпомагат функционирането на платформата

1.   Комисията отговаря за разработването, достъпността, наблюдението, актуализацията, поддръжката, сигурността и хостинга на следните ИКТ приложения и интернет страници:

а)

портала „Вашата Европа“, посочен в член 2, параграф 1;

б)

общия потребителски интерфейс, посочен в член 18, параграф 1, включително търсачката и други ИКТ инструменти, даващи възможност за търсене на информация и услуги на уебсайтове;

в)

регистъра за хипервръзки, посочен в член 19, параграф 1;

г)

общия инструмент за търсене на услуги за оказване на помощ, посочен в член 20, параграф 1;

д)

инструмента за обратна информация от потребителите, посочен в член 25, параграф 1 и в член 26, параграф 1, буква а).

Комисията работи в тясно сътрудничество с държавите членки за разработване на ИКТ приложенията.

2.   Държавите членки отговарят за разработването, достъпността, наблюдението, актуализацията, поддръжката и сигурността на ИКТ приложенията, отнасящи се до управляваните от тях национални уебсайтове и интернет страници и свързани с общия потребителски интерфейс.

ГЛАВА V

ПОПУЛЯРИЗИРАНЕ

Член 22

Наименование, лого и знак за качество

1.   Наименованието, с което платформата ще бъде известна и популяризирана сред широката общественост, е „Your Europe“.

Комисията взема решение относно логото, с което платформата ще бъде известна и популяризирана сред широката общественост, в тясно сътрудничество с координационната група по въпросите на платформата, до 12 юни 2019 г.

Логото на платформата и хипервръзката към платформата трябва да са видими и представени на уебсайтовете на равнището на Съюза и на национално равнище, които са свързани с платформата.

2.   Като доказателство за спазването на посочените в членове 9, 10 и 11 изисквания за качество наименованието и логото на платформата служат и като знак за качество. Въпреки това логото на платформата може да се използва като знак за качество само при информационни интернет страници и уебсайтове и услуги за оказване на помощ и решаване на проблеми, включени в посочения в член 19 регистър за хипервръзки.

Член 23

Популяризиране

1.   Държавите членки и Комисията насърчават осведомеността за платформата и използването ѝ от гражданите и предприятията и гарантират, че платформата и осигуряваните от нея информация, процедури и услуги за оказване на помощ и решаване на проблеми са видими за обществеността и са лесни за намиране чрез публично достъпни търсачки.

2.   Държавите членки и Комисията координират своите дейности по популяризиране по параграф 1 и използват логото и наименованието на платформата в контекста на такива дейности заедно с други утвърдени наименования, когато е целесъобразно.

3.   Държавите членки и Комисията гарантират, че платформата може да бъде намерена лесно чрез свързаните с нея уебсайтове, за които отговарят, и че на всички съответни уебсайтове на равнището на Съюза и на национално равнище са включени ясни хипервръзки към общия потребителски интерфейс.

4.   Националните координатори популяризират платформата сред националните компетентни органи.

ГЛАВА VI

СЪБИРАНЕ НА ОБРАТНА ИНФОРМАЦИЯ ОТ ПОТРЕБИТЕЛИТЕ И НА СТАТИСТИЧЕСКИ ДАННИ ЗА ПОТРЕБИТЕЛИТЕ

Член 24

Статистически данни за потребителите

1.   Компетентните органи и Комисията осигуряват събирането на статистически данни във връзка с посещенията на потребителите на платформата и на интернет страниците, към които платформата предлага хипервръзки, по начин, който гарантира анонимността на потребителите, с цел подобряване на функционалността на платформата.

2.   Компетентните органи, доставчиците на услуги за оказване на помощ и решаване на проблеми, посочени в член 7, параграф 3, и Комисията събират и обменят в обобщен вид информация за броя, произхода и предмета на исканията за услуги за оказване на помощ и решаване на проблеми, както и за сроковете за отговор по тях.

3.   Статистическите данни, събрани в съответствие с параграфи 1 и 2 и отнасящи се до информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, към които платформата предлага хипервръзки, включват следните категории данни:

а)

данни, свързани с броя, произхода и вида на потребителите на платформата;

б)

данни, свързани с предпочитанията и навигацията на потребителя;

в)

данни, свързани с използваемостта, лесното намиране и качеството на информацията, процедурите и услугите за оказване на помощ и решаване на проблеми.

До тези данни се осигурява публичен достъп в отворен, широко използван и машинночетим формат.

4.   Комисията приема актове за изпълнение, в които се определя методът на събиране и обмен на статистическите данни за потребителите, посочени в параграфи 1, 2 и 3 от настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 37, параграф 2.

Член 25

Обратна информация от потребителите относно предлаганите от платформата услуги

1.   С цел събиране на пряка информация от потребителите относно тяхната удовлетвореност от предоставяните посредством платформата услуги и информация, Комисията предоставя на потребителите чрез платформата лесен за ползване инструмент за обратна информация, който позволява на потребителите непосредствено след използването на някоя от услугите, посочени в член 2, параграф 2, да коментират анонимно качеството и достъпността на предоставяните чрез платформата услуги, осигурената на нея информация и общия потребителски интерфейс.

2.   Компетентните органи и Комисията гарантират, че потребителите имат достъп до посочения в параграф 1 инструмент от всички интернет страници, които са част от платформата.

3.   Комисията, компетентните органи и националните координатори разполагат с пряк достъп до обратната информация от потребителите, събрана посредством посочения в параграф 1 инструмент, с цел намиране на решение на сигнализираните проблеми.

4.   От компетентните органи не се изисква да предоставят чрез своите интернет страници, които са част от платформата, достъп на потребителите до посочения в параграф 1 инструмент за обратна информация от потребителите, когато, с цел наблюдение на качеството на услугите, на техните интернет страници вече е на разположение друг инструмент за обратна информация от потребителите с функции, сходни на тези на посочения в параграф 1 инструмент за обратна информация от потребителите. Компетентните органи събират обратната информация от потребителите, получена чрез собствения им инструмент за обратна информация, и я споделят с Комисията и националните координатори на другите държави членки.

5.   Комисията приема актове за изпълнение, с които се определят правила относно събирането и споделянето на обратната информация от потребителите. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 37, параграф 2.

Член 26

Докладване относно функционирането на вътрешния пазар

1.   Комисията:

а)

осигурява на потребителите на платформата лесен за ползване инструмент за анонимно сигнализиране и изпращане на обратна информация относно всякакви пречки, които срещат при упражняването на правата си, свързани с вътрешния пазар;

б)

събира обобщена информация относно предмета на исканията и отговорите във връзка с услугите за оказване на помощ и решаване на проблеми, които са част от платформата.

2.   Комисията, компетентните органи и националните координатори разполагат с пряк достъп до обратната информация, събрана в съответствие с параграф 1, буква а).

3.   Държавите членки и Комисията анализират и разследват проблемите, сигнализирани от потребители съгласно настоящия член, и предприемат действия за справяне с тях чрез подходящи средства, когато е възможно.

Член 27

Кратки онлайн обобщения

Комисията публикува в анонимна форма кратки онлайн обобщения на проблемите, установени въз основа на информацията, събирана в съответствие с член 26, параграф 1, на основните статистически данни за потребителите, посочени в член 24, и на основната обратна информация от потребителите, посочена в член 25.

ГЛАВА VII

УПРАВЛЕНИЕ НА ПЛАТФОРМАТА

Член 28

Национални координатори

1.   Всяка държава членка определя национален координатор. Освен своите задължения в съответствие с членове 7, 17, 19, 20, 23 и 25, националните координатори:

а)

действат като звено за контакт в рамките на своята съответна администрация по всички свързани с платформата въпроси;

б)

насърчават еднаквото прилагане на членове 9 — 16 от своите съответни компетентни органи;

в)

гарантират, че посочените в член 17, параграф 2, буква в) препоръки се прилагат надлежно.

2.   Всяка държава членка може, в съответствие със своята вътрешна административна структура, да определи допълнително един или повече координатори, които да изпълняват задачите, изброени в параграф 1. Един национален координатор от всяка държава членка отговаря за контактите с Комисията по всички свързани с платформата въпроси.

3.   Всяка държава членка информира останалите държави членки и Комисията за името и данните за контакт на своя национален координатор.

Член 29

Координационна група

Създава се координационна група (наричана по-долу „координационната група по въпросите на платформата“). Тя се състои от един национален координатор от всяка държава членка и се председателства от представител на Комисията. Групата приема свой процедурен правилник. Комисията осигурява секретариата на групата.

Член 30

Задачи на координационната група по въпросите на платформата

1.   Координационната група по въпросите на платформата подкрепя прилагането на настоящия регламент. По-специално тя има следните задачи:

а)

улеснява обмена на най-добри практики и тяхното редовно актуализиране;

б)

насърчава въвеждането на изцяло онлайн процедури, в допълнение към включените в приложение II към настоящия регламент, и на онлайн средства за установяване на автентичност, идентификация и подпис, по-специално предвидените в Регламент (ЕС) № 910/2014;

в)

обсъжда възможностите за подобряване на лесно за ползване представяне на информацията в изброените в приложение I области, по-специално въз основа на данните, събрани в съответствие с членове 24 и 25;

г)

подпомага Комисията при разработването на общи ИКТ решения, подпомагащи функционирането на платформата;

д)

обсъжда проекта на годишната работна програма;

е)

подпомага Комисията да наблюдава изпълнението на годишната работна програма;

ж)

обсъжда допълнителна информация, предоставена в съответствие с член 5, с цел насърчаване на другите държави членки да предоставят сходна информация, когато е от значение за потребителите;

з)

подпомага Комисията да наблюдава спазването на изискванията, предвидени в членове 8 — 16, в съответствие с член 17;

и)

предоставя информация относно прилагането на член 6, параграф 1;

й)

обсъжда и предоставя на компетентните органи и на Комисията препоръки за действия с цел избягване или премахване на излишното дублиране на услугите, достъпни чрез платформата;

к)

предоставя становища относно процедури или мерки за ефикасно разрешаване на всякакви сигнализирани от потребителите проблеми, свързани с качеството на услугите, или предложения за неговото подобряване;

л)

обсъжда прилагането на принципите на сигурност още при проектирането и на защита на личните данни още при проектирането в контекста на настоящия регламент;

м)

обсъжда въпроси, свързани със събирането на обратна информация от потребителите и на статистическите данни за потребителите, посочени в членове 24 и 25, с цел постоянно подобряване на предлаганите услуги на равнището на Съюза и на национално равнище;

н)

обсъжда въпроси, свързани с изискванията за качество на предлаганите чрез платформата услуги;

о)

обменя най-добри практики и подпомага Комисията при организирането, структурирането и представянето на посочените в член 2, параграф 2 услуги, за да осигури правилното функциониране на общия потребителски интерфейс;

п)

улеснява разработването и прилагането на мерки във връзка с координираното популяризиране;

р)

осъществява сътрудничество с органите или мрежите за управление на информационни услуги и на услуги за оказване на помощ или решаване на проблеми;

с)

предоставя насоки относно допълнителния официален език или езици на Съюза, които да бъдат използвани от компетентните органи в съответствие с член 9, параграф 2, член 10, параграф 4, член 11, параграф 2 и член 13, параграф 2, буква а).

2.   Комисията може да се консултира с координационната група по въпросите на платформата по всеки въпрос, свързан с прилагането на настоящия регламент.

Член 31

Годишна работна програма

1.   Комисията приема годишната работна програма, в която по-специално се посочва следното:

а)

действията за подобряване на представянето на специфична информация в рамките на изброените в приложение I области и действията за улесняване на своевременното въвеждане от компетентните органи на всички равнища, включително на общинско равнище, на изискванията за осигуряване на информация;

б)

действията за улесняване на съответствието с изискванията на членове 6 и 13;

в)

действията, необходими за гарантиране на последователното спазване на изискванията на членове 9 — 12;

г)

дейностите, свързани с популяризирането на платформата в съответствие с член 23.

2.   При изготвянето на проекта на годишната работна програма Комисията взема предвид статистическите данни за потребителите и обратната информация от потребителите, събрани в съответствие с членове 24 и 25, и евентуалните предложения, направени от държавите членки. Преди приемането на годишната работна програма Комисията предава проекта ѝ на координационната група по въпросите на платформата за обсъждане.

ГЛАВА VIII

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 32

Разходи

1.   Следните разходи се покриват от общия бюджет на Европейския съюз:

а)

за разработване и поддръжка на ИКТ инструменти, подпомагащи прилагането на настоящия регламент на равнището на Съюза;

б)

за популяризиране на платформата на равнището на Съюза;

в)

за превод на информация, обяснения и указания в съответствие с член 12 в рамките на максимален годишен обем за всяка държава членка, без да се засяга евентуалното преразпределяне, необходимо за пълноценното използване на наличния бюджет.

2.   Разходите, свързани с националните интернет портали, информационните платформи, услугите за оказване на помощ и процедурите, установени на равнището на държавите членки, се поемат от съответните бюджети на държавите членки, освен ако в правото на Съюза не е предвидено друго.

Член 33

Защита на личните данни

Обработването на лични данни от компетентните органи в рамките на настоящия регламент се извършва в съответствие с Регламент (ЕС) 2016/679. Обработването на лични данни от страна на Комисията в рамките на настоящия регламент се извършва в съответствие с Регламент (ЕС) 2018/1725.

Член 34

Сътрудничество с други мрежи за предоставяне на информация и оказване на помощ

1.   След консултация с държавите членки Комисията взема решение за кои съществуващи неофициални механизми за управление по отношение на всяка от изброените в приложение III услуги за оказване на помощ или решаване на проблеми или на всяка от попадащите в обхвата на приложение I области на информация, следва да поеме отговорност координационната група по въпросите на платформата.

2.   Когато информацията и услугите или мрежите за оказване на помощ са създадени с правно обвързващ акт на Съюза за някоя от попадащите в обхвата на приложение I области на информация, Комисията координира работата на координационната група по въпросите на платформата и на органите за управление на тези услуги или мрежи с цел постигане на полезни взаимодействия и избягване на дублирането.

Член 35

Информационна система за вътрешния пазар

1.   Информационната система за вътрешния пазар (IMI), създадена съгласно Регламент (ЕС) № 1024/2012, се използва за целите на член 6, параграф 4 и член 15, и в съответствие с посочените разпоредби.

2.   Комисията може да реши да използва IMI като електронен регистър за хипервръзки по член 19, параграф 1.

Член 36

Докладване и преглед

До 12 декември 2022 г. и веднъж на всеки две години след това Комисията прави преглед на прилагането на настоящия регламент и представя на Европейския парламент и на Съвета доклад за оценка на функционирането на платформата и на функционирането на вътрешния пазар въз основа на статистическите данни и обратната информация, събрани в съответствие с членове 24, 25 и 26. При прегледа по-специално се прави оценка на обхвата на член 14 от настоящия регламент, като се вземат предвид технологичните, пазарните и законодателните промени във връзка с обмена на удостоверителни документи между компетентните органи.

Член 37

Процедура на комитет

1.   Комисията се подпомага от комитет. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2.   При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

Член 38

Изменение на Регламент (ЕС) № 1024/2012

Регламент (ЕС) № 1024/2012 се изменя, както следва:

1)

Член 1 се заменя със следното:

„Член 1

Предмет

С настоящия регламент се определят правила за използването на Информационната система за вътрешния пазар (IMI) с цел административно сътрудничество между участниците в IMI, включително обработването на лични данни.“

2)

В член 3 параграф 1 се заменя със следното:

„1.   IMI се използва за обмен на информация, включително на лични данни, между участниците в IMI, както и за обработката на тази информация за някоя от следните цели:

а)

административно сътрудничество, изисквано в съответствие с изброените в приложението актове;

б)

административно сътрудничество, което е предмет на пилотен проект, осъществяван в съответствие с член 4.“

3)

В член 5 втора алинея се изменя, както следва:

а)

буква а) се заменя със следното:

„а)

„IMI“ означава електронното средство, предоставено от Комисията за улесняване на административното сътрудничество между участниците в IMI;“

б)

буква б) се заменя със следното:

„б)

„административно сътрудничество“ означава сътрудничеството между участниците в IMI чрез обмен и обработване на информация с цел по-добро прилагане на правото на Съюза;“

в)

буква ж) се заменя със следното:

„ж)

„участниците в IMI“ означава компетентните органи, координаторите за IMI, Комисията и органите, службите и агенциите на Съюза;“.

4)

В член 8, параграф 1 се добавя следната буква:

„е)

осигурява координация с органите, службите и агенциите на Съюза и им предоставя достъп до IMI.“

5)

В член 9 параграф 4 се заменя със следното:

„4.   Необходимите средства се внедряват от държавите членки, Комисията и органите, службите и агенциите на Съюза, за да се гарантира, че на ползвателите на IMI се разрешава достъп до лични данни, обработвани в IMI, само когато това е необходимо във връзка с работата им и в областта или областите от вътрешния пазар, по отношение на които им е предоставено право на достъп в съответствие с параграф 3.“

6)

Член 21 се изменя, както следва:

а)

параграф 2 се заменя със следното:

„2.   Европейският надзорен орган по защита на данните отговаря за наблюдението и за осигуряване на прилагането на настоящия регламент, когато Комисията или органите, службите и агенциите на Съюза, в ролята им на участници в IMI, обработват лични данни. Във връзка с това се прилагат съответно задълженията и правомощията, посочени в членове 57 и 58 от Регламент (ЕС) 2018/1725 (*1).

(*1)  Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 21.11.2018 г., стр. 39).“;"

б)

параграф 3 се заменя със следното:

„3.   Националните надзорни органи и Европейският надзорен орган по защита на данните, в рамките на съответната си компетентност, сътрудничат помежду си с цел осигуряване на координирания надзор върху IMI и нейното използване от участниците в IMI в съответствие с член 62 от Регламент (ЕС) 2018/1725.“;

в)

параграф 4 се заличава.

7)

В член 29 параграф 1 се заличава.

8)

В приложението се добавят следните точки:

„11.

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (*2): член 56, членове 60 — 66 и член 70, параграф 1.

12.

Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 2 октомври 2018 г. за създаване на единна цифрова платформа за предоставяне на достъп до информация, до процедури и до услуги за оказване на помощ и решаване на проблеми и за изменение на Регламент (ЕС) № 1024/2012 (*3): член 6, параграф 4 и членове 15 и 19.

(*2)  ОВ L 119, 4.5.2016 г., стр. 1."

(*3)  OВ L 295, 21.11.2018 г., стр. 39“."

Член 39

Влизане в сила

Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

Член 2, член 4, членове 7 —12, членове 16 и 17, член 18, параграфи 1 — 4, членове 19 и 20, член 24, параграфи 1, 2 и 3, член 25, параграфи 1 — 4 и членове 26 и 27 се прилагат от 12 декември 2020 г.

Членове 6 и 13, член 14, параграфи 1 — 8 и 10 и член 15 се прилагат от 12 декември 2023 г.

Независимо от началната дата на прилагане на членове 2, 9, 10 и 11, общинските органи осигуряват информацията, обясненията и указанията, посочени в тези членове, най-късно към 12 декември 2022 г.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Страсбург на 2 октомври 2018 година.

За Европейския парламент

Председател

A. TAJANI

За Съвета

Председател

J. BOGNER-STRAUSS


(1)  ОВ C 81, 2.3.2018 г., стр. 88.

(2)  Позиция на Европейския парламент от 13 септември 2018 г. (все още непубликувана в Официален вестник) и решение на Съвета от 27 септември 2018 г.

(3)  Директива 2006/123/ЕО на Европейския парламент и на Съвета от 12 декември 2006 г. относно услугите на вътрешния пазар (ОВ L 376, 27.12.2006 г., стр. 36).

(4)  Регламент (ЕО) № 764/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. относно установяване на процедурите, свързани с прилагането на някои национални технически правила за продукти, законно предлагани на пазара в други държави членки, и за отмяна на Решение № 3052/95/ЕО (ОВ L 218, 13.8.2008 г., стр. 21).

(5)  Регламент (ЕС) № 305/2011 на Европейския парламент и на Съвета от 9 март 2011 г. за определяне на хармонизирани условия за предлагането на пазара на строителни продукти и за отмяна на Директива 89/106/ЕИО на Съвета (ОВ L 88, 4.4.2011 г., стр. 5).

(6)  Директива 2005/36/ЕО на Европейския парламент и на Съвета от 7 септември 2005 г. относно признаването на професионалните квалификации (ОВ L 255, 30.9.2005 г., стр. 22).

(7)  Препоръка на Комисията 2013/461/ЕС от 17 септември 2013 г. относно принципите, приложими за SOLVIT (ОВ L 249, 19.9.2013 г., стр. 10).

(8)  Директива 2014/24/ЕС на Европейския парламент и на Съвета от 26 февруари 2014 г. за обществените поръчки и за отмяна на Директива 2004/18/ЕО (ОВ L 94, 28.3.2014 г., стр. 65).

(9)  Директива 2014/25/ЕС на Европейския парламент и на Съвета от 26 февруари 2014 г. относно възлагането на поръчки от възложители, извършващи дейност в секторите на водоснабдяването, енергетиката, транспорта и пощенските услуги, и за отмяна на Директива 2004/17/ЕО (ОВ L 94, 28.3.2014 г., стр. 243).

(10)  Регламент (ЕС) 2016/589 на Европейския парламент и на Съвета от 13 април 2016 г. относно европейска мрежа на службите по заетостта (EURES), достъп на работниците до услуги за мобилност и по-нататъшно интегриране на пазарите на труда и за изменение на регламенти (ЕС) № 492/2011 и (ЕС) № 1296/2013 (ОВ L 107, 22.4.2016 г., стр. 1).

(11)  Решение 2001/470/ЕО на Съвета от 28 май 2001 г. за създаване на Европейска съдебна мрежа по граждански и търговски дела (ОВ L 174, 27.6.2001 г., стр. 25).

(12)  Директива 2014/67/ЕС на Европейският парламент и на Съвета от 15 май 2014 г. за осигуряване на изпълнението на Директива 96/71/ЕО относно командироването на работници в рамките на предоставянето на услуги и за изменение на Регламент (ЕС) № 1024/2012 относно административно сътрудничество посредством Информационната система за вътрешния пазар („Регламент за IMI“) (ОВ L 159, 28.5.2014 г., стр. 11).

(13)  Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (ОВ L 257, 28.8.2014 г., стр. 73).

(14)  Регламент (ЕО) № 883/2004 на Европейския парламент и на Съвета от 29 април 2004 г. за координация на системите за социално осигуряване (ОВ L 166, 30.4.2004 г., стр. 1).

(15)  Регламент (ЕО) № 987/2009 на Европейския парламент и на Съвета от 16 септември 2009 г. за установяване процедурата за прилагане на Регламент (ЕО) № 883/2004 за координация на системите за социална сигурност (ОВ L 284, 30.10.2009 г., стр. 1).

(16)  Директива (ЕС) 2016/2102 на Европейския парламент и на Съвета от 26 октомври 2016 г. относно достъпността на уебсайтовете и мобилните приложения на организациите от обществения сектор (ОВ L 327, 2.12.2016 г., стр. 1).

(17)  Решение 2010/48/ЕО на Съвета от 26 ноември 2009 г. относно сключването от Европейската общност на Конвенцията на Организацията на обединените нации за правата на хората с увреждания (ОВ L 23, 27.1.2010 г., стр. 35).

(18)  Регламент (ЕС) № 260/2012 на Европейския парламент и на Съвета от 14 март 2012 г. за определяне на технически и бизнес изисквания за кредитни преводи и директни дебити в евро и за изменение на Регламент (ЕО) № 924/2009 (ОВ L 94, 30.3.2012 г., стр. 22).

(19)  Регламент (ЕС) № 1024/2012 на Европейския парламент и на Съвета от 25 октомври 2012 г. относно административно сътрудничество посредством Информационната система за вътрешния пазар и за отмяна на Решение 2008/49/ЕО на Комисията („Регламент за IMI“) (ОВ L 316, 14.11.2012 г., стр. 1).

(20)  Регламент (ЕС) 2016/1191 на Европейския парламент и на Съвета от 6 юли 2016 г. за насърчаване на свободното движение на гражданите чрез опростяване на изискванията за представяне на някои официални документи в Европейския съюз и за изменение на Регламент (ЕС) № 1024/2012 (ОВ L 200, 26.7.2016 г., стр. 1).

(21)  Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ L 119, 4.5.2016 г., стр. 1).

(22)  Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (вж. страница 39 от настоящия брой на Официален вестник).

(23)  Регламент (ЕС) № 1316/2013 на Европейския парламент и на Съвета от 11 декември 2013 г. за създаване на Механизъм за свързване на Европа, за изменение на Регламент (ЕС) № 913/2010 и за отмяна на регламенти (ЕО) № 680/2007 и (ЕО) № 67/2010 (ОВ L 348, 20.12.2013 г., стр. 129).

(24)  Директива (ЕС) 2017/1132 на Европейския парламент и на Съвета от 14 юни 2017 г. относно някои аспекти на дружественото право (ОВ L 169, 30.6.2017 г., стр. 46).

(25)  Регламент (ЕС) 2015/848 на Европейския парламент и на Съвета от 20 май 2015 г. относно производството по несъстоятелност (ОВ L 141, 5.6.2015 г., стр. 19).

(26)  Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

(27)  Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 г. относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза (ОВ L 194, 19.7.2016 г., стр. 1).

(28)  Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 4.5.2016 г., стр. 89).

(29)  Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 година относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

(30)  ОВ C 340, 11.10.2017 г., стр. 6.


ПРИЛОЖЕНИЕ I

Списък на областите на информация от значение за гражданите и предприятията при упражняване на техните права във връзка с вътрешния пазар, посочени в член 2, параграф 2, буква а)

Области на информация, свързани с гражданите:

Област

ИНФОРМАЦИЯ ОТНОСНО ПРАВАТА, ЗАДЪЛЖЕНИЯТА И ПРАВИЛАТА, ПРОИЗТИЧАЩИ ОТ ПРАВОТО НА СЪЮЗА И НАЦИОНАЛНОТО ПРАВО

А.

Пътуване в рамките на Съюза

1.

документи, изисквани от граждани на Съюза, членове на техните семейства, които не са граждани на Съюза, ненавършили пълнолетие лица, пътуващи сами, и граждани на държави извън Съюза при пътуване зад граница в рамките на Съюза (лична карта, виза, паспорт)

2.

права и задължения на лицата, пътуващи със самолет, влак, кораб и автобус в Съюза и извън него, и на лицата, които закупуват туристически пакети или свързани пътнически услуги

3.

съдействие в случай на намалена подвижност при пътуване в Съюза и извън него

4.

пренасяне на животни, растения, алкохол, тютюневи изделия, цигари и други стоки при пътуване в Съюза

5.

гласови повиквания и изпращане и получаване на електронни съобщения и на електронни данни в рамките на Съюза

Б.

Работа и пенсиониране в рамките на Съюза

1.

търсене на работа в друга държава членка

2.

започване на работа в друга държава членка

3.

признаване на квалификации във връзка с работа в друга държава членка

4.

данъчно облагане в друга държава членка

5.

правила относно отговорността и задължителното осигуряване, свързани с пребиваване или трудова заетост в друга държава членка

6.

условия на труд, включително за командировани работници, предвидени в законов или подзаконов нормативен акт (включително информация относно работно време, платен отпуск, право на отпуск, права и задължения във връзка с извънреден труд, медицински прегледи, прекратяване на договори, уволнение и съкращения)

7.

равно третиране (правила за забрана на дискриминация на работното място, правила за равно заплащане за мъжете и жените и за равно заплащане на наети лица на срочни или на безсрочни трудови договори)

8.

задължения във връзка със здравето и безопасността по отношение на различните видове дейности

9.

социалноосигурителни права и задължения в Съюза, включително свързаните с получаването на пенсии

В.

Превозни средства в Съюза

1.

временно или постоянно прехвърляне на моторно превозно средство в друга държава членка

2.

придобиване и подновяване на свидетелство за управление на МПС

3.

сключване на задължителна застраховка на моторно превозно средство

4.

закупуване и продажба на моторно превозно средство в друга държава членка

5.

национални правила за движение и изисквания по отношение на водачите, включително общи правила за ползването на националната пътна инфраструктура: такси въз основа на време (винетка), такси въз основа на изминато разстояние (такса за изминато разстояние), винетки за емисии

Г.

Пребиваване в друга държава членка

1.

временно или постоянно преместване в друга държава членка

2.

купуване и продажба на недвижимо имущество, включително условия и задължения във връзка с данъчното облагане, собствеността или използването на такова имущество, включително като второ жилище

3.

участие в общински избори и в избори за Европейския парламент

4.

изисквания за издаването на карти за пребиваване на гражданите на Съюза и членовете на техните семейства, включително членове на семействата, които не са граждани на Съюза

5.

условия, приложими към натурализацията на лица от друга държава членка

6.

правила, приложими в случай на смърт, включително правила относно репатрирането на тленни останки в друга държава членка

Д.

Образование или стаж в друга държава членка

1.

образователна система в друга държава членка, включително образование и грижи в ранна детска възраст, начално и средно образование, висше образование и учене за възрастни

2.

доброволческа дейност в друга държава членка

3.

стаж в друга държава членка

4.

провеждане на научноизследователска дейност в друга държава членка като част от образователна програма

Е.

Здравеопазване

1.

медицинско лечение в друга държава членка

2.

закупуване онлайн или лично на предписани фармацевтични продукти в държава членка, различна от тази, в която е издадена рецептата

3.

правила за здравно осигуряване, приложими в случай на краткосрочно или дългосрочно пребиваване в друга държава членка, включително за подаване на заявление за издаването на европейска здравноосигурителна карта

4.

обща информацията относно правата на достъп или задължението за участие в съществуващите обществени мерки за здравна профилактика

5.

услуги, предоставяни чрез националните номера за спешни повиквания, включително номер 112 и номер 116

6.

права и условия за преместване в заведение за настаняване на нуждаещи се от грижи лица

Ж.

Права и задължения на гражданите и семейството

1.

раждане, попечителство над ненавършили пълнолетие деца, родителски права и задължения, сурогатно майчинство и осиновяване, включително осиновяване от съпруг, задължения за издръжка по отношение на деца в трансгранично семейно положение

2.

съжителство на лица с различно гражданство, включително еднополови двойки (брак, гражданско или регистрирано партньорство, раздяла, развод, права във връзка с придобитото през брака имущество, права за съжителство)

3.

правила за признаване на смяната на пола

4.

права и задължения във връзка с наследяване в друга държава членка, включително данъчни правила

5.

права и правила, приложими в случай на трансгранично отвличане на дете от родител

З.

Права на потребителите

1.

закупуване онлайн или лично на стоки, цифрово съдържание или услуги (включително финансови) от друга държава членка

2.

притежаване на банкова сметка в друга държава членка

3.

ползване на комунално-битови услуги, като снабдяване с газ, електроенергия, вода, изхвърляне на отпадъци от домакинствата, далекосъобщителни услуги и интернет

4.

плащания, включително кредитни преводи, закъснения при трансгранични плащания

5.

права на потребителите и гаранции, свързани с покупки на стоки и услуги, включително процедури за решаване на потребителски спорове и компенсация

6.

безопасност и сигурност на потребителските стоки

7.

наем на моторно превозно средство

И.

Защита на личните данни

1.

упражняване на правата на субектите на данни във връзка със защитата на личните данни

Области на информация, свързани с предприятията:

Област

ИНФОРМАЦИЯ ОТНОСНО ПРАВАТА, ЗАДЪЛЖЕНИЯТА И ПРАВИЛАТА

Й.

Започване, извършване и приключване на стопанска дейност

1.

регистриране, преобразуване или прекратяване на стопанска дейност (регистрационни процедури и правни форми за извършването на стопанска дейност)

2.

преместване на стопанска дейност в друга държава членка

3.

права върху интелектуалната собственост (подаване на заявка за патент, регистриране на търговска марка, чертеж или дизайн, получаване на лиценз за възпроизвеждане)

4.

справедливост и прозрачност при търговските практики, включително права на потребителите и гаранции във връзка с продажбата на стоки и услуги

5.

предлагане на онлайн услуги за трансгранични плащания при продажбата на стоки и услуги онлайн

6.

права и задължения, произтичащи от договорното право, включително лихви за забава

7.

производства по несъстоятелност и ликвидация на дружества

8.

кредитно застраховане

9.

сливания на дружества или продажба на предприятие

10.

гражданска отговорност на директорите на дружество

11.

правила и задължения във връзка с обработването на лични данни

К.

Персонал

1.

условия на труд, предвидени в законов или подзаконов нормативен акт (включително работно време, платен отпуск, право на отпуск, права и задължения във връзка с извънреден труд, медицински прегледи, прекратяване на договори, уволнения и съкращения)

2.

социалноосигурителни права и задължения в Съюза (регистрация като работодател, регистрация на служители, уведомяване на служител за изтичането на срока на договор, плащане на социалноосигурителни вноски, права и задължения във връзка с пенсии)

3.

наемане на работа на работници в други държави членки (командироване на работници, правила относно свободното предоставяне на услуги, изисквания по отношение на пребиваването на работниците)

4.

равно третиране (правила за забрана на дискриминация на работното място, правила за равно заплащане за мъжете и жените и равно заплащане на наети лица на срочни или на безсрочни трудови договори)

5.

правила относно представителството на персонала

Л.

Данъци

1.

ДДС: информация относно общите правила, ставките и освобождаванията от данък, регистриране по ДДС и заплащане на данъка, възстановяване на заплатен данък

2.

акцизи: информация относно общите правила, ставките и освобождаванията, регистрация за целите на акцизите и плащане на акцизи, възстановяване на заплатен акциз

3.

мита и други данъци и такси, налагани върху вноса

4.

митнически процедури за внос и износ съгласно Митническия кодекс на Съюза

5.

други данъци: плащане, ставки, данъчни декларации

М.

Стоки

1.

получаване на маркировка „CE“

2.

правила и изисквания относно продуктите

3.

определяне на приложимите стандарти, технически спецификации и сертифициране на продукти

4.

взаимно признаване на продукти, спрямо които не се прилагат спецификации на Съюза

5.

изисквания по отношение на класирането, етикетирането и опаковането на опасни химични вещества

6.

продажби от разстояние и извън търговския обект: информация, която трябва да се предоставя предварително на клиентите, писмено потвърждение на договор, отказ от договор, доставяне на стоките, други специфични задължения

7.

продукти с недостатъци: права на потребителите и гаранции, отговорност след продажбата, способи за обезщетяване на увредено лице

8.

сертифициране, етикетиране (EMAS, енергийни етикети, екопроектиране, екомаркировка на ЕС)

9.

рециклиране и управление на отпадъците

Н.

Услуги

1.

получаване на лицензи, разрешения или разрешителни с цел започването и осъществяването на стопанска дейност

2.

уведомяване на властите за трансгранични дейности

3.

признаване на професионални квалификации, включително професионално образование и обучение

О.

Финансиране на стопанска дейност

1.

получаване на достъп до финансиране на равнището на Съюза, включително програми на Съюза за финансиране и безвъзмездни средства за стопанска дейност

2.

получаване на достъп до финансиране на национално равнище

3.

инициативи, насочени към предприемачите (организирани обмени за нови предприемачи, програми за наставничество и т.н.)

П.

Обществени поръчки

1.

участие в обществени поръчки: правила и процедури

2.

представяне на оферта онлайн в отговор на покана за представяне на оферти

3.

съобщаване на нередности във връзка с тръжната процедура

Р.

Здравословни и безопасни условия на труд

1.

задължения във връзка със здравето и безопасността по отношение на различните видове дейности, включително предотвратяване на рисковете, информация и обучение


ПРИЛОЖЕНИЕ II

Процедури, посочени в член 6, параграф 1

Житейски събития

Процедури

Очакван краен продукт, подлежащ на оценка на прилагането от компетентните органи в съответствие с националното им право, когато е приложимо

Раждане

Искане за издаване на доказателство за регистрация на раждане

Доказателство за регистрация на раждане или акт за раждане

Пребиваване

Искане за издаване на доказателство за пребиваване

Потвърждение на регистрацията на текущия адрес

Образование

Кандидатстване за финансиране на обучението за висше образование, като стипендии за обучение и заеми от публичен орган или институция

Решение по молбата за финансиране или потвърждение за получаване

Представяне на първоначална молба за прием в публично заведение за висше образование

Потвърждение за получаване на молбата

Искане за академично признаване на дипломи, удостоверения или други доказателства за образование или курсове

Решение по искането за признаване

Работа

Искане за определяне на приложимото законодателство в съответствие с дял II от Регламент (ЕО) № 883/2004 (1)

Решение относно приложимото законодателство

Уведомяване за промени в личния или професионалния живот на лице, получаващо социалноосигурителни обезщетения, които са от значение за тези обезщетения

Потвърждение за получаване на уведомлението за такива промени

Заявление за издаване на Европейска здравноосигурителна карта (ЕЗОК)

Европейска здравноосигурителна карта (ЕЗОК)

Подаване на данъчна декларация за доходи

Потвърждение за получаване на декларацията

Преместване

Регистрация на промяна на адрес

Потвърждение на отписването от предишния адрес и на регистрацията на новия адрес

Регистрация на моторно превозно средство с произход от държава — членка или вече регистрирано в държава членка по стандартна процедура (2)

Доказателство за регистрацията на моторно превозно средство

Получаване на винетки за ползването на националната пътна инфраструктура: такси въз основа на време (винетка), такси въз основа на изминато разстояние (такса за изминато разстояние), издадени от публичен орган или институция

Получаване на винетка или на друго доказателство за плащане

Получаване на винетки за емисии, издадени от публичен орган или институция

Получаване на винетка за емисии или на друго доказателство за плащане

Пенсиониране

Подаване на искане за отпускане на пенсия и на предпенсионни обезщетения от задължителни схеми

Потвърждаване за получаване на искането или решение относно искането за отпускане на пенсия или на предпенсионни обезщетения

Искане за информация относно данни, свързани с пенсия от задължителни схеми

Декларация за лични данни, свързани с пенсията

Започване, извършване и приключване на стопанска дейност

Уведомяване за стопанска дейност, разрешение за упражняване на стопанска дейност, промени в стопанската дейност и прекратяване на стопанска дейност, без процедури по несъстоятелност или ликвидация, с изключение на първоначалната регистрация на стопанска дейност в търговския регистър и на учредяването на дружества по смисъла на член 54, втора алинея ДФЕС или последващото подаване на документи от тях

Потвърждение за получаване на уведомлението или промяната, или на искането за разрешение за стопанска дейност

Регистрация на работодател (физическо лице) към задължителни пенсионни и осигурителни схеми

Потвърждение за регистрация или социалноосигурителен регистрационен номер

Регистрация на наети лица към задължителни пенсионни и осигурителни схеми

Потвърждение за регистрация или социалноосигурителен регистрационен номер

Представяне на декларация за корпоративен данък

Потвърждение за получаване на декларацията

Уведомяване на системите за социална сигурност за датата на изтичане на договор с наето лице, с изключение на процедурите за колективно прекратяване на договорите на наети лица

Потвърждение за получаване на уведомлението

Плащане на социалноосигурителни вноски за наети лица

Разписка или друга форма на потвърждение на плащането на социалноосигурителни вноски за наети лица


(1)  Регламент (ЕО) № 883/2004 на Европейския парламент и на Съвета от 29 април 2004 г. за координация на системите за социално осигуряване (ОВ L 166, 30.4.2004 г., стр. 1).

(2)  Отнася се за следните превозни средства: а) всяко моторно превозно средство или ремарке съгласно член 3 от Директива № 2007/46/ЕО на Европейския парламент и на Съвета (ОВ L 263, 9.10.2007 г., стр. 1), и б) всяко дву- или триколесно моторно превозно средство, с двойни или единични колела, предназначено да се движи по път, съгласно член 1 от Регламент (ЕС) № 168/2013 на Европейския парламент и на Съвета (ОВ L 60, 2.3.2013 г., стр. 52).


ПРИЛОЖЕНИЕ III

Списък на услугите за оказване на помощ и решаване на проблеми, посочени в член 2, параграф 2, буква в)

1)

Единични звена за контакт (1)

2)

Звена за контакт относно продуктите (2)

3)

Звена за контакт относно продукти в строителството (3)

4)

Национални помощни центрове във връзка с професионалните квалификации (4)

5)

Национални звена за контакт във връзка с трансграничното здравно обслужване (5)

6)

Европейски служби по заетостта (EURES) (6)

7)

Онлайн решаване на спорове (7)


(1)  Директива 2006/123/ЕО на Европейския парламент и на Съвета от 12 декември 2006 г. относно услугите на вътрешния пазар (ОВ L 376, 27.12.2006 г., стр. 36).

(2)  Регламент (ЕО) № 764/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. относно установяване на процедурите, свързани с прилагането на някои национални технически правила за продукти, законно предлагани на пазара в други държави членки, и за отмяна на Решение № 3052/95/ЕО (ОВ L 218, 13.8.2008 г., стр. 21).

(3)  Регламент (ЕС) № 305/2011 на Европейския парламент и на Съвета от 9 март 2011 г. за определяне на хармонизирани условия за предлагането на пазара на строителни продукти и за отмяна на Директива 89/106/ЕИО на Съвета (ОВ L 88, 4.4.2011 г., стр. 5).

(4)  Директива 2005/36/ЕО на Европейския парламент и на Съвета от 7 септември 2005 г. относно признаването на професионалните квалификации (ОВ L 255, 30.9.2005 г., стр. 22).

(5)  Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стр. 45).

(6)  Регламент (ЕС) 2016/589 на Европейския парламент и на Съвета от 13 април 2016 г. относно европейска мрежа на службите по заетостта (EURES), достъп на работниците до услуги за мобилност и по-нататъшно интегриране на пазарите на труда и за изменение на регламенти (ЕС) № 492/2011 и (ЕС) № 1296/2013 (ОВ L 107, 22.4.2016 г., стр. 1).

(7)  Регламент (ЕС) № 524/2013 на Европейския парламент и на Съвета от 21 май 2013 г. относно онлайн решаване на потребителски спорове и за изменение на Регламент (ЕО) № 2006/2004 и Директива 2009/22/ЕО (Регламент за ОРС за потребители) (ОВ L 165, 18.6.2013 г., стр. 1).


21.11.2018   

BG

Официален вестник на Европейския съюз

L 295/39


РЕГЛАМЕНТ (ЕС) 2018/1725 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

от 23 октомври 2018 година

относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО

(Текст от значение за ЕИП)

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 16, параграф 2 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

като взеха предвид становището на Европейския икономически и социален комитет (1),

в съответствие с обикновената законодателна процедура (2),

като имат предвид, че:

(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) предвиждат, че всеки има право на защита на своите лични данни. Това право е гарантирано също така от член 8 от Европейската конвенция за защита правата на човека и основните свободи.

(2)

Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (3) осигурява на физическите лица гарантирани от закона права, определя свързаните с обработването на данни задължения на администраторите в рамките на институциите и органите на Общността и създава независим надзорен орган, Европейския надзорен орган по защита на данните, който отговаря за наблюдението на обработването на лични данни от институциите и органите на Съюза. Той не се прилага обаче за обработването на лични данни при извършването на дейност на институциите и органите на Съюза, попадаща извън обхвата на правото на Съюза.

(3)

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (4) и Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (5) бяха приети на 27 април 2016 г. Докато в регламента се установяват общи правила за защита на физическите лица във връзка с обработването на лични данни и за гарантиране на свободното движение на лични данни в рамките на Съюза, с директивата се установяват специални правила за защита на физическите лица във връзка с обработването на лични данни и за гарантиране на свободното движение на лични данни в рамките на Съюза в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(4)

В Регламент (ЕС) 2016/679 се предвижда адаптирането на Регламент (ЕО) № 45/2001, за да се осигури силна и съгласувана рамка за защита на данните в Съюза и да се даде възможност за едновременното му прилагането с Регламент (ЕС) 2016/679.

(5)

Привеждането, доколкото е възможно, на правилата относно защитата на данните от страна на институциите, органите, службите и агенциите на Съюза в съответствие с правилата относно защита на данните, приети за публичния сектор в държавите членки, е в интерес както на постигането на съгласуван подход към защитата на личните данни навсякъде в Съюза, така и на свободното движение на лични данни навсякъде в Съюза. Когато разпоредбите на настоящия регламент следват същите принципи като разпоредбите на Регламент (ЕС) 2016/679, тълкуването на тези две групи от разпоредби, съгласно практиката на Съда на Европейския съюз („Съда“), следва да бъде еднообразно, по-специално защото структурата на настоящия регламент следва да се разбира като еквивалентна на структурата на Регламент (ЕС) 2016/679.

(6)

Лицата, чиито лични данни се обработват от институциите и органите на Съюза в някаква връзка, например поради това, че са служители на тези институции и органи, следва да бъдат защитени. Настоящият регламент не следва да се прилага за обработването на лични данни на починали лица. Настоящият регламент не обхваща обработването на лични данни, които засягат юридически лица, и по-специално предприятия, установени като юридически лица, включително наименованието и правната форма на юридическото лице и данните за връзка на юридическото лице.

(7)

За да се избегне създаването на сериозен риск от заобикаляне на закона, защитата на физическите лица следва да бъде технологично неутрална и следва да не зависи от използваната техника.

(8)

Настоящият регламент следва да се прилага за обработването на лични данни от всички институции, органи, служби и агенции на Съюза. Той следва да се прилага за обработването на лични данни, — изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да съставляват част от регистър с лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в обхвата на настоящия регламент.

(9)

В Декларация № 21 относно защитата на личните данни в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, конференцията признава, че биха могли да са необходими специални правила относно защитата на личните данни и относно свободното движение на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество въз основа на член 16 от ДФЕС поради специфичното естество на тези области. Ето защо отделна глава от настоящия регламент, съдържаща общи правила, следва да се прилага за обработването на лични данни от оперативен характер, като например лични данни, обработвани за целите на наказателното разследване от органи, служби или агенции на Съюза при извършването на дейности в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(10)

С Директива (ЕС) 2016/680 се установяват хармонизирани правила за защитата и свободното движение на личните данни, обработвани за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или на изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. С цел да се осигури еднакво ниво на защита на физическите лица чрез гарантирани от закона права навсякъде в Съюза и да се предотвратят различията, възпрепятстващи обмена на лични данни между органите, службите или агенциите на Съюза при извършването на дейности, попадащи в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС, и компетентните органи, правилата за защитата и свободното движение на лични данни от оперативен характер, обработвани от тези органи, служби или агенции на Съюза, следва да бъдат в съответствие с Директива (ЕС) 2016/680.

(11)

Общите правила на главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер, следва да се прилагат, без да се засягат специалните правила относно обработването на лични данни от оперативен характер от органите, службите или агенциите на Съюза при извършването на дейности, попадащи в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС. Тези специални правила следва да се разглеждат като lex specialis по отношение на разпоредбите в главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер (lex specialis derogat legi generali). С цел да се намали правната разпокъсаност, специалните правила относно обработването на лични данни от оперативен характер от органите, службите или агенциите на Съюза при извършването на дейности, попадащи в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС, следва да бъдат съгласувани с принципите, залегнали в основата на главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер, както и с разпоредбите на настоящия регламент, отнасящи се до независимия надзор, средствата за правна защита, отговорността за причинени вреди и санкциите.

(12)

Главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер, следва да се прилага към органите, службите и агенциите на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС, независимо дали те упражняват тези дейност като свои основни или допълнителни задачи за целите на предотвратяването, разкриването, разследването или наказателното преследване на престъпления. Тя обаче не следва да се прилага за Европол или за Европейската прокуратура, докато правните актове за създаване на Европол и Европейската прокуратура не бъдат изменени с оглед въвеждането, със съответните адаптации, на глава в настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер„ приложима по отношение на тях.

(13)

Комисията следва да извърши преглед на настоящия регламент, по-специално на главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер. Комисията следва да извърши преглед и на други правни актове, приети въз основа на Договорите, които уреждат обработването на лични данни от оперативен характер от органите, службите или агенциите на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС. След такъв преглед, с цел да се гарантира единна и съгласувана защита на физическите лица във връзка с обработването на лични данни, Комисията следва да може да прави всякакви подходящи законодателни предложения, включително необходимите адаптации на главата от настоящия регламент, отнасяща се до обработването на личните данни от оперативен характер, с оглед нейното прилагане по отношение на Европол и Европейската прокуратура. Адаптациите следва да бъдат съобразени с разпоредбите относно независимия надзор, средствата за правна защита, отговорността за причинени вреди и санкциите.

(14)

Настоящият регламент следва да обхваща обработването на лични данни от административен характер, като например данни за персонала, обработвани от органите, службите или агенциите на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС.

(15)

Настоящият регламент следва да се прилага за обработването на лични данни от институциите, органите, службите или агенциите на Съюза при извършването на дейности, които попадат в обхвата на дял V, глава 2 от Договора за Европейския съюз (ДЕС). Настоящият регламент не следва да се прилага за обработването на лични данни от мисиите, посочени в член 42, параграф 1 и членове 43 и 44 от ДЕС, които осъществяват общата политика за сигурност и отбрана. Когато е целесъобразно, следва да се представят подходящи предложения за по-нататъшно регламентиране на обработването на личните данни в областта на общата политика за сигурност и отбрана.

(16)

Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се уточни дали има разумна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като например разходите и времето, необходими за идентифицирането, като се отчитат както наличните към момента на обработване на данните технологии, така и тяхното развитие. Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, а именно информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните вече не може да бъде идентифициран. Ето защо настоящият регламент не се отнася до обработването на такава анонимна информация, включително за статистически или изследователски цели.

(17)

Прилагането на псевдонимизация на личните данни може да намали рисковете за съответните субекти на данни и да помогне на администраторите и на обработващите лични данни да изпълняват своите задължения за защита на данните. Изричното въвеждане на псевдонимизация в настоящия регламент не е предназначено да изключи други мерки за защита на данните.

(18)

Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране.

(19)

Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда. Същевременно субектът на данните следва да има правото да оттегли съгласието си по всяко време, без това да засяга законосъобразността на обработката на данните, основаваща се на съгласие преди неговото оттегляне. За да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора и поради това изглежда малко вероятно съгласието да е дадено свободно предвид всички обстоятелства на конкретната ситуация. Често в момента на събиране на данните целта на обработването на лични данни за научноизследователски цели не може да бъде напълно установена. Поради това на субектите на данни следва да бъде дадена възможност да дадат съгласието си за определени области на научни изследвания, когато те са в съответствие с признатите етични норми, отнасящи се за научните изследвания. Субектите на данни следва да имат възможност да дадат съгласието си само за определени области на научни изследвания или части от научноизследователски проекти, доколкото позволява набелязаната цел.

(20)

Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принцип се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. С цел да се гарантира, че срокът на съхранение на личните данни не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. Следва да бъдат предприети всички разумни мерки, за да се гарантира, че неточните лични данни се коригират или заличават. Личните данни следва да се обработват по начин, който гарантира подходяща степен на сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни или на тяхното използване и на оборудването за тяхното обработване, и за предотвратяване на неразрешеното им разкриване, когато те бъдат предавани.

(21)

В съответствие с принципа на отчетност, когато институциите и органите на Съюза предават лични данни в рамките на същата институция или орган на Съюза и получателят не е част от администратора, или на други институции или органи на Съюза, те следва да проверяват дали тези лични данни са необходими за законосъобразното изпълнение на задачи в рамките на компетентността на получателя. По-специално, след искане на получател за предаване на лични данни, администраторът следва да удостовери наличието на съответно основание за законосъобразно обработване на лични данни от получателя, както и неговата компетентност. Администраторът следва също да извърши предварителна оценка на необходимостта от предаването на данните. В случай на възникнали съмнения относно тази необходимост администраторът следва да изисква допълнителна информация от получателя. Получателят следва да гарантира, че необходимостта от предаване на данните може да бъде впоследствие проверена.

(22)

За да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на необходимостта от изпълнение на задача от обществен интерес от страна на институции и органи на Съюза или при упражняването на техните официални правомощия, необходимостта от спазване на правно задължение, наложено на администратора на лични данни, или на друго законно основание съгласно настоящия регламент, включително съгласието на субекта на данни, необходимостта от изпълнение на договор, по който субектът на данни е страна, или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения. Обработването на лични данни за изпълнението на задачи от обществен интерес от страна на институции и органи на Съюза включва обработването на лични данни, които са необходими за управлението и функционирането на тези институции и органи. Обработването на лични данни следва да се счита за законосъобразно и когато е необходимо, за да се защити интерес от първостепенно значение за живота на субекта на данните или на друго физическо лице. Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение, или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия.

(23)

Правото на Съюза, посочено в настоящия регламент, следва да бъде ясно и точно и прилагането му следва да бъде предвидимо за лицата, за които се прилага, в съответствие с изискванията, определени в Хартата и в Европейската конвенция за защита на правата на човека и основните свободи.

(24)

Вътрешните правила, посочени в настоящия регламент, следва да бъдат ясни и точни актове с обща приложимост, които са предназначени да породят правни последици по отношение на субектите на данни. Те следва да бъдат приети на най-високото равнище на управление на институциите и органите на Съюза в рамките на тяхната компетентност и да се отнасят до въпроси, свързани с тяхното функциониране. Те следва да бъдат публикувани в Официален вестник на Европейския съюз. Прилагането на тези правила следва да бъде предвидимо за лицата, които са техни адресати, в съответствие с изискванията, определени в Хартата и в Европейската конвенция за защита на правата на човека и основните свободи. Вътрешните правила могат да бъдат под формата на решения, по-специално когато се приемат от институции на Съюза.

(25)

Обработването на лични данни за цели, различни от тези, за които първоначално са събрани личните данни, следва да бъде разрешено единствено когато обработването е съвместимо с целите, за които първоначално са събрани личните данни. В такъв случай не се изисква отделно правно основание, различно от това, с което е било разрешено събирането на личните данни. Ако обработването е необходимо за изпълнението на задача от обществен интерес или свързана с упражняването на официални правомощия, които са предоставени на администратора, в правото на Съюза могат да бъдат определени и уточнени задачите и целите, за които по-нататъшното обработване следва да се счита за съвместимо и законосъобразно. По-нататъшното обработване за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели следва да се разглежда като съвместима законосъобразна операция по обработване. Правното основание, предвидено от правото на Съюза за обработване на лични данни, може да предостави и правно основание за по-нататъшно обработване. За да установи дали дадена цел на по-нататъшно обработване е съвместима с целта, за която първоначално са събрани личните данни, администраторът на лични данни, след като е спазил всички изисквания относно законосъобразността на първоначалното обработване, следва да отчете, inter alia: всички връзки между тези цели и целите на предвиденото по-нататъшно обработване; в какъв контекст са събрани личните данни, по-специално основателните очаквания на субектите на данните въз основа на техните взаимоотношения с администратора по отношение на по-нататъшно използване на личните данни; естеството на личните данни; последствията от предвиденото по-нататъшно обработване на данни за субектите на данни; и наличието на подходящи гаранции при операциите по първоначалното и предвиденото по-нататъшно обработване.

(26)

Когато обработването се извършва въз основа на съгласието на субекта на данните, администраторът следва да може да докаже, че субектът на данните е дал съгласието си за операцията по обработване. По-специално, в случай на писмена декларация по друг въпрос, с гаранциите следва да се обезпечи, че субектът на данни е информиран за това, че дава съгласието си, и в каква степен го дава. В съответствие с Директива 93/13/ЕИО на Съвета (6) следва да бъде осигурена предварително съставена от администратора декларация за съгласие в разбираема и лесно достъпна форма, на ясен и прост език, която не следва да съдържа неравноправни клаузи. За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за което са предназначени личните данни. Съгласието не следва да се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.

(27)

На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за създаването на личностни профили и за събирането на лични данни по отношение на деца при пряко предлагане на услуги на деца на уебсайтове на институции и органи на Съюза, като например междуличностни съобщителни услуги или онлайн продажба на билети, и обработването на лични данни се основава на съгласие.

(28)

Когато установени в Съюза получатели, различни от институциите и органите на Съюза, искат институции и органи на Съюза да им предадат лични данни, тези получатели следва да докажат, че предаването е необходимо за изпълнението на тяхна задача, която се осъществява в обществен интерес, или за упражняването на официалните им правомощия. Като алтернатива тези получатели следва да докажат, че предаването е необходимо за конкретна цел в обществен интерес, като администраторът следва да установи дали има основание да се предполага, че законните интереси на субекта на данните могат да бъдат накърнени. В такива случаи администраторът следва да претегли по доказуем начин различните конкуриращи се интереси, за да прецени пропорционалността на поисканото предаване на лични данни. Конкретните цели в обществен интерес могат да се отнасят до прозрачността на институциите и органите на Съюза. Институциите и органите на Съюза следва да докажат такава необходимост, когато те самите предприемат предаването на данни, в съответствие с принципите на прозрачност и добро управление. Определените в настоящия регламент изисквания във връзка с предаването на данни на установени в Съюза получатели, различни от институциите и органите на Съюза, следва да се разбират като допълнителни по отношение на условията за законосъобразно обработване.

(29)

На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Такива лични данни не следва да бъдат обработвани, освен ако са изпълнени специфичните условия, определени в настоящия регламент. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация на дадено физическо лице или удостоверяване на автентичността. В допълнение към специфичните изисквания за обработване на чувствителни данни следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

(30)

Специалните категории лични данни, за които е обоснована по-голяма защита, следва да бъдат обработвани за здравни цели само когато това е необходимо за постигането на тези цели в полза на физическите лица и на обществото като цяло, по-специално в рамките на управлението на услуги и системи за здравни или социални грижи. Поради това настоящият регламент следва да предвижда хармонизирани условия за обработването на специални категории лични данни за здравословното състояние по отношение на специфични потребности, по-специално когато обработването на тези данни се извършва за определени здравни цели от лица, обвързани от правното задължение за професионална тайна. Правото на Съюза следва да предвижда конкретни и подходящи мерки за защита на основните права и личните данни на физическите лица.

(31)

Обработването на специални категории лични данни може да е необходимо по съображения от обществен интерес в областта на общественото здраве без съгласието на субекта на данните. Такова обработване следва да бъде предмет на подходящи и конкретни мерки с оглед защита на правата и свободите на физическите лица. В този контекст понятието „обществено здраве“ следва да се тълкува по смисъла на Регламент (ЕО) № 1338/2008 на Европейския парламент и на Съвета (7) и означава всички елементи, свързани със здравето, а именно здравословно състояние, включително заболеваемост и инвалидност, решаващи фактори, които оказват влияние върху това здравословно състояние, потребности от здравно обслужване, средства, отделени за здравно обслужване, предоставяне на здравни грижи и всеобщ достъп до тях, разходи и финансиране на здравното обслужване, както и причини за смъртност. Такова обработване на данни за здравето по съображения от обществен интерес не следва да води до обработването на лични данни за други цели.

(32)

Ако обработваните от администратора лични данни не му позволяват да идентифицира дадено физическо лице, администраторът на данни не следва да е задължен да се сдобие с допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на някоя от разпоредбите на настоящия регламент. Администраторът обаче не следва да отказва да приеме допълнителна информация, подадена от субекта на данни, за да подпомогне упражняването на неговите права. Идентификацията следва да включва цифровата идентификация на субекта на данни, например чрез механизъм за удостоверяване на автентичността като използването от субекта на данни на една и съща информация за удостоверяване на идентичността при регистрация за онлайн услуга, предлагана от администратора на лични данни.

(33)

Обработването на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели следва да се извършва при прилагане на подходящи гаранции за правата и свободите на субекта на данните в съответствие с настоящия регламент. Посочените гаранции следва да осигурят наличието на технически и организационни мерки, по-специално с оглед на спазването на принципа за свеждане на данните до минимум. По-нататъшното обработване на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели се извършва, когато администраторът е преценил възможността за постигане на тези цели чрез обработването на лични данни, които не позволяват или повече не позволяват идентифицирането на субекта на данните, при условие че съществуват подходящи гаранции (като напр. псевдонимизацията на данните). Институциите и органите на Съюза следва да предвидят подходящи гаранции за обработването на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели в правото на Съюза, което може да включва вътрешни правила, приети от институциите и органите на Съюза по въпроси, свързани с тяхното функциониране.

(34)

Следва да бъдат предвидени ред и условия за улесняване на упражняването на правата на субектите на данни съгласно настоящия регламент, включително механизми за искане и ако е приложимо — получаване, без заплащане, по-специално на достъп до, коригиране или изтриване на лични данни и упражняване на правото на възражение. Администраторът следва да предостави и средства за подаване на искания по електронен път, особено когато личните данни се обработват електронно. Администраторът следва да бъде задължен да отговоря на исканията на субекта на данни без ненужно забавяне и най-късно в рамките на един месец, както и да посочи причините, ако не възнамерява да се съобрази с тези искания.

(35)

Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. Администраторът следва да предостави на субекта на данните всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекст, в които се обработват личните данни. Освен това субектът на данни следва да бъде информиран за извършването на профилиране и за последствията от това профилиране. Когато личните данни се събират от субекта на данни, той следва да бъде информиран и за това дали е задължен да предостави личните данни и за последствията, в случай че не ги предостави. Тази информация може да бъде предоставена в комбинация със стандартизирани икони, така че по лесно видим, разбираем и ясно четим начин да се представи съдържателен преглед на планираното обработване. Ако иконите се представят в електронен вид, те следва да бъдат машинночитаеми.

(36)

Информацията за обработването на лични данни, свързани със субекта на данните, следва да му бъде предоставена в момента на събирането ѝ от субекта на данните или ако личните данни са получени от друг източник — в рамките на разумен срок, в зависимост от обстоятелствата на конкретния случай. В случаите, в които личните данни могат да бъдат законно разкрити на друг получател, субектът на данните следва да бъде информиран, когато личните данни се разкриват за първи път на получателя. Когато администраторът възнамерява да обработва личните данни за цел, различна от тази, за която те са събрани, той следва да предостави на субекта на данните преди това по-нататъшно обработване информация за въпросната друга цел и друга необходима информация. Когато на субекта на данните не може да се предостави информация за произхода на личните данни поради използването на различни източници, се представя обобщена информация.

(37)

Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. Това включва правото на субектите на данни на достъп до данните за здравословното им състояние, например данните в медицинските им досиета, които съдържат информация като диагнози, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции. Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно целите, за които се обработват личните данни, когато е възможно — срока, за който се обработват личните данни, получателите на личните данни, логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране. Това право не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера. Тези съображения обаче не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни. Когато администраторът обработва голямо количество информация относно субекта на данни, администраторът следва да може да поиска от субекта на данните, преди да бъде предадена информацията, да посочи точно информацията или дейностите по обработването, за които се отнася искането.

(38)

Субектът на данни следва да има право на коригиране на личните данни, свързани с него, както и правото „да бъде забравен“, когато запазването на тези данни е в нарушение на настоящия регламент или на правото на Съюза, което се прилага спрямо администратора. Субектът на данни следва да има право личните му данни да се изтриват и да не бъдат обработвани повече, когато личните данни престанат да бъдат необходими с оглед на целите, за които те са били събрани или обработвани по друг начин, когато субектът на данните е оттеглил своето съгласие или е възразил срещу обработването на лични данни, свързани с него, или когато обработването на личните му данни по друг начин не е в съответствие с настоящия регламент. Това право е важно особено когато субектът на данни е дал съгласието си като дете и не е осъзнавал напълно рисковете, свързани с обработването, и впоследствие желае да премахне такива лични данни, особено когато са в интернет. Субектът на данни следва да може да упражни това право независимо от факта, че вече не е дете. По-нататъшното запазване на личните данни обаче следва да бъде законно, ако е необходимо за упражняване на правото на свобода на изразяване на мнение и правото на информация, за спазване на правно задължение, за изпълнение на задача от обществен интерес или при изпълнение на официални функции, възложени на администратора, по причини от обществен интерес в областта на общественото здравеопазване, за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели, или за установяване, упражняване или защита на правни претенции.

(39)

С цел утвърждаване на „правото да бъдеш забравен“ в онлайн средата правото на изтриване следва да бъде разширено, като от администратора, който е направил личните данни обществено достъпни, следва да се изисква да информира администраторите, които обработват такива лични данни, да изтрият всякакви връзки към тези лични данни или техните копия или реплики. За тази цел администраторът следва да предприеме разумни мерки, като вземе предвид наличните технологии и средствата на разположение на администратора, включително технически мерки, за да информира администраторите, които обработват личните данни, за искането на субекта на данните.

(40)

Методите за ограничаване на обработването на лични данни биха могли да включват, inter alia, временно преместване на избраните лични данни в друга система за обработване, прекратяване на достъпа на ползвателите до тях или временно премахване на публикуваните данни от уебсайт. В автоматизираните регистри на лични данни ограничаването на обработването следва по принцип да бъде осигурено с технически средства, така че личните данни да не подлежат на операции по по-нататъшно обработване и да не могат да се променят. Фактът, че обработването на лични данни е ограничено, следва да бъде ясно посочен в системата.

(41)

С цел допълнително засилване на контрола над собствените данни, когато обработването на лични данни става с автоматични средства, субектът на данните следва да има и правото да получава отнасящите се до него лични данни, които той е предоставил на администратора, в структуриран, широко използван, пригоден за машинно четене и оперативно съвместим формат и да ги предава на друг администратор. Администраторите следва да бъдат насърчавани да разработват оперативно съвместими формати, които позволяват преносимост на данните. Това право следва да се прилага, когато субектът на данни е предоставил личните данни въз основа на собственото си съгласие или обработването е необходимо поради договорно задължение. Ето защо това право не следва да се прилага, когато обработването на личните данни е необходимо за спазване на правно задължение на администратора, или за изпълнение на задача от обществен интерес, или при упражняване на официално правомощие, предоставено на администратора. Правото на субекта на данни да предава или получава отнасящи се до него лични данни не следва да поражда задължение за администраторите да възприемат или поддържат технически съвместими системи за обработване. Когато в определен пакет от лични данни е засегнат повече от един субект на данни, правото личните данни да бъдат получавани следва да не засяга правата и свободите на други субекти на данни в съответствие с настоящия регламент. Освен това, това право не следва да засяга правото на субекта на данни на изтриване на лични данни и ограниченията на това право, както е посочено в настоящия регламент, и по-специално не следва да включва изтриването на лични данни относно субекта на данните, които той е предоставил в изпълнение на договор, в степента и за сроковете, за които личните данни са необходими за изпълнението на този договор. Когато това е технически осъществимо, субектът на данни следва да има право на пряко прехвърляне на личните данни от един администратор към друг.

(42)

Когато личните данни биха могли да се обработват законносъобразно, тъй като обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официално правомощие, предоставено на администратора, всеки субект на данни следва все пак да има право на възражение срещу обработването на лични данни, свързани с неговото конкретно положение. Администраторът следва да докаже, че неговите неоспорими законни интереси имат предимство пред интересите или основните права и свободи на субекта на данни.

(43)

Субектът на данни следва да има право да не бъде адресат на решение, което може да включва мярка за оценка на свързани с него лични аспекти единствено въз основа на автоматизирано обработване и което поражда правни последствия за него или го засяга също толкова значително, като например електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към изпълнението на професионалните задължения на субекта на данни, неговото икономическо състояние, здраве, лични предпочитания или интереси, надеждност или поведение, местонахождение или движения, когато то поражда правни последствия по отношение на лицето или го засяга също толкова значително.

Въпреки това вземането на решения въз основа на такова обработване, включително профилиране, следва да бъде позволено, когато е изрично разрешено от правото на Съюза. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка, и на обжалване на решението. Такава мярка не следва да се отнася до дете. С цел да се осигури добросъвестно и прозрачно обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства и контекстът, при които се обработват личните данни, администраторът следва да използва подходящи математически или статистически процедури за профилирането, да прилага съответните технически и организационни мерки, по-специално за да гарантира, че факторите, които водят до неточности в личните данни, се коригират, а рискът от грешки се свежда до минимум, да защити личните данни по начин, който отчита потенциалните заплахи за интересите и правата на субекта на данните и да предотврати, inter alia, ефект на дискриминация на физически лица въз основа на тяхната раса или етнически произход, политически възгледи, вероизповедание или убеждения, членство в синдикални организации, генетичен или здравен статус или сексуална ориентация или обработване, от което произтичат мерки с такъв ефект. Автоматизираното вземане на решения и профилирането на базата на специални категории лични данни следва да бъде разрешено само при определени условия.

(44)

Правни актове, приети въз основа на Договорите, или вътрешни правила, приети от институции и органи на Съюза по въпроси, свързани с тяхната дейност, могат да налагат ограничения относно специални принципи и относно правото на информация, достъп до и коригиране или изтриване на лични данни, правото на преносимост на данните, поверителността на данните от електронните съобщения, както и уведомяването на субекта на данни за нарушение на сигурността на личните данни и определени свързани с това задължения на администраторите, доколкото това е необходимо и пропорционално в едно демократично общество с оглед защитата на обществената сигурност и за предотвратяването, разследването и наказателното преследване на престъпления или изпълнението на наказания. Това включва защитата срещу заплахи за обществената сигурност и тяхното предотвратяване, защитата на човешкия живот, особено при природни или предизвикани от човека бедствия, вътрешната сигурност на институциите и органите на Съюза, други важни цели от общ обществен интерес на Съюза или на държава членка, по-специално целите на общата външна политика и политика на сигурност на Съюза или важен икономически или финансов интерес на Съюза или на държава членка, и поддържането на публични регистри поради причини от широк обществен интерес или защитата на субекта на данни или на правата и свободите на други лица, включително социалната защита, общественото здраве и хуманитарните цели.

(45)

Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица.

(46)

Рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, имуществени или неимуществени вреди, по-специално: когато обработването може да породи дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация или други значителни икономически или социални неблагоприятни последствия; когато субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху техните лични данни; когато се обработват лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионална организация, и когато се обработват генетични данни, данни за здравословното състояние или данни за сексуалния живот или за присъди и престъпления или свързани с тях мерки за сигурност; когато се оценяват лични аспекти, по-специално анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения, икономическото състояние, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движенията, с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими лица, по-специално на деца; когато обработването включва голям обем лични данни и засяга голям брой субекти на данни.

(47)

Вероятността и тежестта на риска за правата и свободите на субекта на данни следва да се определят с оглед на естеството, обхвата, контекста и целта на обработването. Рискът следва да се оценява въз основа на обективна оценка, с която се определя дали операцията по обработването на данни води до риск или до висок риск.

(48)

Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира изпълнението на изискванията на настоящия регламент. За да може да докаже спазването на настоящия регламент, администраторът следва да приеме вътрешни политики и да приложи мерки, които отговарят по-специално на принципите за защита на данните на етапа на проектирането и защита на данните по подразбиране. Такива мерки могат да се изразяват, inter alia, в свеждане до минимум на обработването на лични данни, псевдонимизиране на лични данни на възможно най-ранен етап, прозрачност по отношение на функциите и обработването на лични данни, създаване на възможност за субекта на данни да наблюдава обработването на данни, възможност за администратора да създава и подобрява елементите на сигурността. Принципите на защита на данните на етапа на проектирането и по подразбиране следва да се вземат предвид и в контекста на процедурите за възлагане на обществени поръчки.

(49)

Регламент (ЕС) 2016/679 изисква от администраторите да докажат, че спазват задълженията си, като се придържат към одобрени механизми за сертифициране. Институциите и органите на Съюза също така следва да могат да докажат, че спазват настоящия регламент, като получат сертифициране в съответствие с член 42 от Регламент (ЕС) 2016/679.

(50)

Защитата на правата и свободите на субектите на данни, както и отговорността и задълженията на администраторите и обработващите лични данни изискват ясно определяне на отговорностите съгласно настоящия регламент, включително когато администраторът определя целите и средствата на обработването съвместно с други администратори или когато дадена операция по обработване се извършва от името на даден администратор.

(51)

За да се гарантира спазването на изискванията на настоящия регламент по отношение на обработването, извършвано от обработващия лични данни от името на администратора, когато на обработващия лични данни се възлагат дейности по обработването, администраторът следва да използва само такива обработващи лични данни, които предоставят достатъчни гаранции, по-специално по отношение на експертни знания, надеждност и ресурси, че предприемат технически и организационни мерки, които отговарят на изискванията на настоящия регламент, включително на изискванията за сигурността на обработването. Придържането от страна на обработващите лични данни, различни от институциите и органите на Съюза, към одобрен кодекс на поведение или одобрен механизъм за сертифициране може да се използва като елемент за доказване, че са спазени задълженията на администратора. Извършването на обработването от обработващ лични данни, различен от институция или орган на Съюза, следва да се урежда с договор или, в случай че обработването се извършва от институции или органи на Съюза — с договор или друг правен акт съгласно правото на Съюза, който обвързва обработващия лични данни с администратора, регламентира предмета и продължителността на обработването, естеството и целите на обработването, вида лични данни и категориите субекти на данни, като се вземат предвид конкретните задачи и отговорности на обработващия лични данни в контекста на обработването, което следва да се извърши, както и рискът за правата и свободите на субекта на данни. Администраторът и обработващият лични данни следва да могат да изберат да използват индивидуален договор или стандартни договорни клаузи, приети или пряко от Комисията, или от Европейския надзорен орган по защита на данните и впоследствие приети от Комисията. След приключване на обработването от името на администратора обработващият личните данни следва, по избор на администратора, да ги върне или заличи, освен ако не е налице изискване за съхраняване на въпросните лични данни по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни.

(52)

За да докажат спазването на настоящия регламент, както администраторите, така и обработващите лични данни следва да поддържат регистри на всички категории дейности по обработване, за които отговарят. Институциите и органите на Съюза следва да са длъжни да си сътрудничат с Европейския надзорен орган по защита на данните и да му предоставят своите регистри при поискване, за да могат да бъдат използвани за наблюдение на тези операции по обработване. Освен ако е нецелесъобразно, като се вземе предвид размерът на институцията или органа на Съюза, институциите и органите на Съюза следва да могат да създадат централен регистър на своите дейности по обработване на данни. От съображения за прозрачност те следва също така да могат да направят този регистър публичен.

(53)

С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните следва да се разгледат рисковете, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, имуществени или неимуществени вреди.

(54)

Институциите и органите на Съюза следва да гарантират поверителността на електронните съобщения, предвидена в член 7 от Хартата. По-специално институциите и органите на Съюза следва да гарантират сигурността на своите електронни съобщителни мрежи. Те следва да защитават информацията, свързана с крайните устройства на ползвателите, осъществяващи достъп до техните обществено достъпни уебсайтове и мобилни приложения в съответствие с Директива 2002/58/ЕО на Европейския парламент и на Съвета (8). Те следва да защитават също и личните данни, съхранявани в указателите на ползвателите.

(55)

Нарушението на сигурността на личните данни може, ако по отношение на него не бъдат взети подходящи и своевременни мерки, да доведе до физически, имуществени или неимуществени вреди за физическите лица. Поради това, веднага след като установи нарушение на сигурността на личните данни, администраторът следва да уведоми Европейския надзорен орган по защита на данните за нарушението на сигурността на личните данни без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа, след като е разбрал за него, освен ако администраторът е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, то следва да посочва причините за забавянето и информацията може да се подаде поетапно без излишно допълнително забавяне. Когато такова забавяне е основателно, не толкова чувствителната или конкретна информация относно нарушението следва да бъде предоставена на възможно най-ранен етап, вместо преди уведомяването да се изчаква цялостно разрешаване на инцидента, който е в основата на нарушението.

(56)

Администраторът следва да уведоми субекта на данни за нарушението на сигурността на личните данни без ненужно забавяне, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическото лице, за да му се даде възможност да предприеме необходимите предпазни мерки. В уведомлението следва да се посочва естеството на нарушението на сигурността на личните данни, както и да се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици. Такива уведомления до субектите на данни следва да бъдат правени веднага щом това е разумно осъществимо и в тясно сътрудничество с Европейския надзорен орган по защита на данните, като се спазват насоките, предоставени от него или от други съответни органи, като например правоприлагащите органи.

(57)

Регламент (ЕО) № 45/2001 предвижда общо задължение на администратора да уведоми за обработването на лични данни длъжностното лице по защита на данните. Освен ако е нецелесъобразно, като се вземе предвид размерът на институцията или органа на Съюза, длъжностното лице по защита на данните води регистър на операциите по обработване, за които е направено уведомление. Наред с това общо задължение следва да се въведат ефективни процедури и механизми за наблюдение на онези видове операции по обработване, които има вероятност да доведат до висок риск за правата и свободите на физическите лица поради своето естество, обхват, контекст и цели. Такива процедури следва да бъдат прилагани по-специално, когато видовете операции по обработване включват използването на нови технологии или представляват нов вид технологии, във връзка с които преди това от администратора не е извършвана оценка на въздействието върху защитата на данните или които стават необходими предвид времето, изминало от първоначалното обработване. В такива случаи преди обработването администраторът следва да извърши оценка на въздействието върху защитата на данните, за да се оценят конкретната вероятност и тежестта на високия риск, като се вземат предвид естеството, обхватът, контекстът и целите на обработването и източниците на риска. Посочената оценка на въздействието следва да включва по-специално предвидените мерки, гаранции и механизми за ограничаване на този риск, с които се осигурява защитата на личните данни и се доказва спазването на настоящия регламент.

(58)

Когато в оценката на въздействието върху защитата на данните е указано, че при липса на гаранции, мерки за сигурност и механизми за ограничаване на риска обработването би довело до висок риск за правата и свободите на физическите лица, и администраторът счита, че рискът не може да бъде ограничен с разумни средства от гледна точка на наличните технологии и разходи за прилагане, преди началото на дейностите по обработването следва да се осъществи консултация с Европейския надзорен орган по защита на данните. Има вероятност такъв висок риск да бъде породен от определени видове обработване и от степента и честотата на обработване, които могат да доведат и до нанасяне на вреди или до възпрепятстване на упражняването на правата и свободите на физическото лице. Европейският надзорен орган по защита на данните следва да отговори на искането за консултация в рамките на определен срок. Въпреки това отсъствието на отговор от Европейския надзорен орган по защита на данните в рамките на този срок не следва да препятства евентуалната намеса на Европейския надзорен орган по защита на данните в съответствие със задълженията и правомощията му, установени в настоящия регламент, включително правомощието да забранява операции по обработване. Като част от този процес на консултации следва да бъде възможно да се представи на Европейския надзорен орган по защита на данните резултатът от оценка на въздействието върху защитата на данните, извършена във връзка с въпросното обработване, и по-конкретно мерките, предвидени за ограничаване на възможните рискове за правата и свободите на физическите лица.

(59)

Европейският надзорен орган по защита на данните следва да бъде информиран за административните мерки и с него да бъдат провеждани консултации относно вътрешните правила, приемани от институциите и органите на Съюза по въпроси, свързани с тяхната дейност, когато те предвиждат обработването на лични данни, определят условия за ограничаване на правата на субекта на данни или предоставят подходящи гаранции за правата на субекта на данни, за да се гарантира, че планираното обработване отговаря на изискванията на настоящия регламент, по-специално относно ограничаването на рисковете, свързани със субекта на данни.

(60)

С Регламент (ЕС) 2016/679 бе създаден Европейският комитет по защита на данните като независим орган на Съюза, притежаващ правосубектност. Комитетът следва да допринася за съгласуваното прилагане на Регламент (ЕС) 2016/679 и Директива (ЕС) 2016/680 навсякъде в Съюза, включително като съветва Комисията. В същото време Европейският надзорен орган по защита на данните следва да продължи да упражнява своите надзорни и консултативни функции по отношение на всички институции и органи на Съюза, включително по своя собствена инициатива или при поискване. С цел да се гарантира съгласуваност на правилата за защита на данните навсякъде в Съюза, Комисията следва да полага усилия за консултация с Европейския надзорен орган по защита на данните при подготовката на предложения или препоръки. Комисията следва да извършва задължително консултация след приемането на законодателни актове или при подготовката на делегирани актове и актове за изпълнение, определени в членове 289, 290 и 291 от ДФЕС, и след приемането на препоръки и предложения, свързани със споразумения с трети държави и международни организации, предвидени в член 218 от ДФЕС, които имат въздействие върху правото на защита на личните данни. В тези случаи Комисията следва да бъде задължена да се консултира с Европейския надзорен орган по защита на данните, с изключение на случаите, при които Регламент (ЕС) 2016/679 предвижда задължителна консултация с Европейския комитет по защита на данните, например във връзка с решения относно адекватното ниво на защита или делегирани актовете относно стандартизирани икони и изисквания за механизмите за сертифициране. Когато въпросният акт има особено значение за защитата на правата и свободите на физическите лица по отношение на обработването на лични данни, Комисията следва да може също така да се консултира с Европейския комитет по защита на данните. В тези случаи Европейският надзорен орган по защита на данните следва, като член на Европейския комитет по защита на данните, да координира работата си с него с оглед на изготвянето на съвместно становище. Европейският надзорен орган по защита на данните и когато е приложимо, Европейският комитет по защита на данните следва да представят писменото си становище в срок от осем седмици. Този срок следва да бъде намален за спешни случаи или когато това е уместно, например когато Комисията подготвя делегирани актове и актове за изпълнение.

(61)

В съответствие с член 75 от Регламент (ЕС) 2016/679 Европейският надзорен орган по защита на данните следва да осигурява секретариата на Европейския комитет по защита на данните.

(62)

Във всички институции и органи на Съюза трябва да има длъжностно лице по защита на данните, което да гарантира прилагането на разпоредбите на настоящия регламент и да съветва администраторите и обработващите лични данни по изпълнението на техните задължения. Длъжностното лице по защита на данните следва да бъде лице с експертни познания в областта на правото и практиките за защита на данните, което следва да се определя по-специално в съответствие с извършваните операции по обработване на данни от администратора или обработващия лични данни и защитата, която е необходима за личните данни. Тези длъжностни лица по защита на данните следва да са в състояние да изпълняват своите задължения и задачи по независим начин.

(63)

Когато лични данни се предават от институциите или органите на Съюза на администратори, обработващи лични данни или други получатели в трети държави или на международни организации, нивото на защита на физическите лица, осигурено в Съюза с настоящия регламент, следва да бъде гарантирано. Същите гаранции следва да се прилагат в случаите на последващо предаване на лични данни от третата държава или международната организация на администратори или обработващи лични данни в същата или друга трета държава или международна организация. Във всеки случай предаването на данни на трети държави и международни организации може да се извършва единствено в пълно съответствие с настоящия регламент и при спазване на основните права и свободи, заложени в Хартата. Предаването може да се извършва само ако администраторът или обработващият лични данни изпълняват условията, установени в разпоредбите на настоящия регламент, относно предаването на лични данни на трети държави или международни организации, при спазване на другите разпоредби на настоящия регламент.

(64)

Комисията може да реши в съответствие с член 45 от Регламент (ЕС) 2016/679 или с член 36 от Директива (ЕС) 2016/680, че дадена трета държава, територия или конкретен сектор в трета държава или дадена международна организация предоставя адекватно ниво на защита на данните. В тези случаи предаването на лични данни на такава трета държава или международна организация от институция или орган на Съюза може да се извършва, без да е необходимо допълнително разрешение.

(65)

При липсата на решение относно адекватното ниво на защита администраторът или обработващият лични данни следва да предприеме мерки, за да компенсира липсата на защита на данни в дадена трета държава чрез подходящи гаранции за субекта на данните. Тези подходящи гаранции може да се състоят от стандартни клаузи за защита на данните, приети от Комисията, стандартни клаузи за защита на данните, приети от Европейския надзорен орган по защита на данните, или договорни клаузи, разрешени от Европейския надзорен орган по защита на данните. Когато обработващият лични данни не е институция или орган на Съюза, тези подходящи гаранции може също така да се състоят от задължителни фирмени правила, кодекси за поведение и механизми за сертифициране, използвани за международното предаване на данни по силата на Регламент (ЕС) 2016/679. Тези гаранции следва да осигуряват спазването на изискванията относно защитата на данните и на правата на субектите на данни, подходящи при обработване в рамките на Съюза, включително наличието на изпълняеми права на субектите на данни и на ефективни средства за правна защита, включително с цел получаване на ефективна административна или съдебна защита и предявяване на искове за обезщетение в Съюза или в трета държава. Те следва да се отнасят по-специално до спазването на общите принципи, свързани с обработването на лични данни, и до принципите за защита на данните на етапа на проектирането и по подразбиране. Данни може да се предават и от институциите или органите на Съюза на публични органи или организации в трети държави или на международни организации със съответните задължения или функции, включително въз основа на разпоредбите, които ще бъдат включени в административните договорености, като например меморандум за разбирателство, с които да се предоставят изпълняеми и ефективни права за субектите на данни. Когато гаранциите са предвидени в административни договорености, които нямат задължителен характер, следва да се получи разрешение от Европейския надзорен орган по защита на данните.

(66)

Възможността администраторът или обработващият лични данни да използва стандартни клаузи за защита на данните, приети от Комисията или от Европейския надзорен орган по защита на данните, не следва да възпрепятства администраторите или обработващите лични данни да включат стандартни клаузи за защита на данните в договор с по-голям обхват, като договор между обработващия лични данни и друг обработващ лични данни, нито да добавят други клаузи или допълнителни гаранции, при условие че същите не противоречат пряко или косвено на стандартните договорни клаузи, приети от Комисията или от Европейския надзорен орган по защита на данните, нито засягат основните права или свободи на субектите на данни. Администраторите и обработващите лични данни следва да бъдат насърчавани да предоставят допълнителни гаранции чрез договорни ангажименти, които допълват стандартните клаузи за защита на данните.

(67)

Някои трети държави приемат закони, подзаконови и други правни актове, които имат за цел пряко да регулират дейностите по обработване на данни от страна на институциите или органите на Съюза. Това може да включва решения на съдилища или трибунали или решения на административни органи в трети държави, с които от администратора или обработващия лични данни се изисква да предаде или да разкрие лични данни и които не се основават на международно споразумение, което е в сила между третата държава, отправила искането, и Съюза. Извънтериториалното прилагане на тези закони, подзаконови и други правни актове може да бъде в нарушение на международното право и да възпрепятства осигуряването на защитата на физическите лица, гарантирана в Съюза с настоящия регламент. Предаването на данни следва да е разрешено само когато са изпълнени условията на настоящия регламент относно предаването на данни на трети държави. Такъв може да бъде случаят, inter alia, когато разкриването е необходимо поради важно съображение от обществен интерес, признато в правото на Съюза.

(68)

Следва да се предвиди възможността в особени случаи да се предават данни при определени обстоятелства, когато субектът на данните е дал изричното си съгласие, когато предаването засяга отделни случаи и е необходимо във връзка с договор или правна претенция, независимо от това дали е в рамките на съдебна, административна или друга извънсъдебна процедура, включително процедура пред регулаторни органи. Следва да се предвиди и възможността да се предават данни, когато това се налага поради важни съображения от обществен интерес, предвидени в правото на Съюза, или когато предаването се извършва от регистър, създаден със закон и предназначен за справки от обществеността или от лица, които имат законен интерес. В този случай, освен ако това е разрешено от правото на Съюза, предаването не следва да включва всички лични данни или цели категории данни, съдържащи се в регистъра, а когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването следва да се извършва единствено по искане на тези лица или ако те са получателите, като се вземат изцяло под внимание интересите и основните права на субекта на данните.

(69)

Тези дерогации следва да се прилагат по-специално за предаването на данни, което се изисква и е необходимо по важни причини от обществен интерес, например при международен обмен на данни между институциите и органите на Съюза и органи по защита на конкуренцията, данъчни или митнически власти, органи за финансов надзор и служби, компетентни по въпросите на социалната сигурност или общественото здраве, например в случай на проследяване на контакти при заразни болести или с цел намаляване и/или премахване на употребата на допинг в спорта. Предаването на лични данни следва също да се разглежда като законосъобразно, когато е необходимо за защитата на интерес от съществено значение за жизненоважни интереси на субекта на данни или на друго лице, включително физическата неприкосновеност или живота, ако субектът на данните не е в състояние да даде съгласие. При липсата на решение относно адекватното ниво на защита правото на Съюза може по важни причини от обществен интерес изрично да определи ограничения за предаването на специални категории от данни на трета държава или международна организация. Всяко предаване на международна хуманитарна организация на лични данни на субект на данни, който е физически или юридически неспособен да даде своето съгласие, с оглед на изпълнението на задължение по силата на Женевските конвенции или прилагането на международното хуманитарно право, приложимо в условията на военни конфликти, може да се счита за необходимо поради важна причина от обществен интерес или защото е от жизненоважен интерес за субекта на данни.

(70)

Във всеки случай, когато Комисията не е взела решение относно адекватното ниво на защита на данните в трета държава, администраторът или обработващият данни следва да използва решения, които предоставят изпълняеми и ефективни права на субектите на данни по отношение на обработването на техните данни в Съюза след предаването на тези данни, така че те да продължат да се ползват от основните права и гаранциите.

(71)

Трансграничното движение на лични данни извън Съюза може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, по-специално да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време националните надзорни органи и Европейският надзорен орган по защита на данните, могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън тяхната юрисдикция. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани и от недостатъчни правомощия за предотвратяване или защита, различаващи се правни режими, както и от практически пречки като ограничения на ресурсите. Поради това по-тясното сътрудничество между Европейския надзорен орган по защита на данните и националните надзорни органи следва да бъде насърчавано, за да им се помогне да обменят информация със своите международни партньори.

(72)

Създаването с Регламент (ЕО) № 45/2001 на Европейския надзорен орган по защита на данните, който е оправомощен да изпълнява своите задачи и упражнява своите правомощия при пълна независимост, е първостепенен елемент от защитата на физическите лица във връзка с обработването на личните им данни. Настоящият регламент следва допълнително да укрепи и да изясни неговите роля и независимост. Европейският надзорен орган по защита на данните следва да бъде лице, чиято независимост не подлежи на съмнение и за което е признато, че притежава необходимите опит и умения, за да изпълнява задълженията на Европейски надзорен орган по защита на данните, например поради това, че е работило в един от надзорните органи, създадени по силата на член 51 от Регламент (ЕС) 2016/679.

(73)

За да се гарантира съгласувано наблюдение и прилагане на правилата за защита на данните навсякъде в Съюза, Европейският надзорен орган по защита на данните следва да има еднакви задачи и ефективни правомощия с националните надзорни органи, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, правомощия за довеждане на нарушенията на настоящия регламент до знанието на Съда и правомощия за участие в съдебни производства в съответствие с първичното право. Тези правомощия следва да включват и правомощието за налагане на временно или окончателно ограничаване, включително забрана, на обработването на данни. С цел избягване на излишни разходи и прекалени неудобства за лицата, които могат да бъдат засегнати по неблагоприятен начин, всяка мярка на Европейския надзорен орган по защита на данните следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай и се зачита правото на всяко лице да бъде изслушано, преди да бъде взета каквато и да е конкретна мярка. Всяка мярка със задължителен характер на Европейския надзорен орган по защита на данните следва да бъде в писмена форма, да бъде ясна и недвусмислена, да посочва датата на издаване на мярката, да е подписана от Европейския надзорен орган по защита на данните, да посочва основанията за мярката и да се позовава на правото на ефективни правни средства за защита.

(74)

Компетентността на Европейския надзорен орган по защита на данните във връзка с надзора не следва да обхваща обработването на лични данни от Съда, когато той действа при изпълнение на своите съдебни функции, за да се гарантира независимостта на Съда при изпълнението на съдебните му задължения, включително вземането на решения. За такива операции по обработване Съдът следва да установи независим надзор в съответствие с член 8, параграф 3 от Хартата, например чрез вътрешен механизъм.

(75)

Решенията на Европейския надзорен орган по защита на данните относно изключенията, гаранциите, разрешенията и условията във връзка с операциите по обработване на данни, както са определени в настоящия регламент, следва да се публикуват в доклад за дейността. Независимо от публикуването на годишен доклад за дейността, Европейският надзорен орган по защита на данните може да публикува доклади по конкретни теми.

(76)

Европейският надзорен орган по защита на данните следва да спазва Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета (9).

(77)

Националните надзорни органи наблюдават прилагането на Регламент (ЕС) 2016/679 и допринасят за неговото съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни и улесняване на свободното движение на личните данни в рамките на вътрешния пазар. С цел да се повиши съгласуваността при прилагане на правилата за защита на данните, приложими в държавите членки, и на правилата за защита на данните, приложими за институциите и органите на Съюза, Европейският надзорен орган по защита на данните следва да си сътрудничи ефективно с националните надзорни органи.

(78)

В някои случаи правото на Съюза предвижда модел на споделен между Европейския надзорен орган по защита на данните и националните надзорни органи координиран надзор. Европейският надзорен орган по защита на данните е също и надзорният орган на Европол и за тези цели, а посредством съвет за сътрудничеството, който има консултативни функции, е създаден конкретен модел на сътрудничество с националните надзорни органи. С цел подобряване на ефективния надзор и прилагане на материалноправните разпоредби за защита на данните, в Съюза следва да бъде въведен единен, съгласуван модел на координиран надзор. Поради това Комисията следва да направи, когато е целесъобразно, законодателни предложения за изменение на правните актове на Съюза, които предвиждат модел на координиран надзор, за да се приведат в съответствие с модела за координиран надзор от настоящия регламент. Европейският комитет по защита на данните следва да служи като единен форум за гарантиране на ефективен координиран надзор във всички области.

(79)

Всеки субект на данни следва да има право да подаде жалба до Европейския надзорен орган по защита на данните, както и право на ефективни правни средства за защита пред Съда в съответствие с Договорите, ако счита, че правата му по настоящия регламент са нарушени или ако Европейският надзорен орган по защита на данните не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данни. Разследването въз основа на жалби следва да подлежи на съдебен контрол и да се извършва в целесъобразна за конкретния случай степен. Европейският надзорен орган по защита на данните следва да информира субекта на данните за напредъка в процеса на разглеждане и резултата от жалбата в разумен срок. Ако случаят изисква допълнително координиране с национален надзорен орган, на субекта на данните следва да бъде предоставена междинна информация. За да се улесни подаването на жалбите, Европейският надзорен орган по защита на данните следва да вземе мерки, като например осигуряване на формуляр за подаване на жалби, който да може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

(80)

Всяко лице, което е претърпяло имуществени или неимуществени вреди в резултат на нарушение на настоящия регламент, следва да има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди при спазване на условията, предвидени в Договорите.

(81)

С цел да се укрепи надзорната роля на Европейския надзорен орган по защита на данните и ефективното прилагане на настоящия регламент Европейският надзорен орган по защита на данните следва да има правомощието да налага като санкция в краен случай административна имуществена санкция. Тя следва да имат за цел санкционирането на институцията или органа на Съюза, а не на физически лица, за неспазване на настоящия регламент, възпирането на бъдещи нарушения на настоящия регламент, както и насърчаването на култура на защита на личните данни в рамките на институциите и органите на Съюза. В настоящия регламент следва да се посочат нарушенията, за които се налага административна имуществена санкция, както и горните граници и критериите за определяне на свързаните имуществени санкции. Европейският надзорен орган по защита на данните следва да определи размера на имуществената санкция във всеки отделен случай, като взема предвид всички обстоятелства, свързани с конкретната ситуация, по-специално при надлежно отчитане на естеството, тежестта и продължителността на нарушението, на последиците от него и на мерките, предприети, за да се гарантира спазване на задълженията по настоящия регламент и за да се предотвратят или смекчат последиците от нарушението. При налагането на административна имуществена санкция на институция или орган на Съюза Европейския надзорен орган по защита на данните следва да прецени пропорционалността на размера на имуществената санкция. Административното производство за налагането на имуществени санкции на институции и органи на Съюза следва да зачита общите принципи на правото на Съюза, както се тълкуват от Съда.

(82)

Когато субектът на данни смята, че правата му по настоящия регламент са нарушени, той следва да има право да възложи на структура, организация или сдружение с нестопанска цел, което е учредено съгласно правото на Съюза или правото на държава членка, има уставни цели, които са в обществен интерес, и работи в областта на защитата на личните данни, да подаде жалба от негово име до Европейския надзорен орган по защита на данните. Тази структура, организация или сдружение следва също така да може да упражнява правото на съдебна защита от името на субектите на данни или да упражнява правото за обезщетение от името на субектите на данни.

(83)

Длъжностно лице или друг служител на Съюза, който не спазва задълженията, предвидени в настоящия регламент, подлежи на дисциплинарна или друга мярка в съответствие с правилата и процедурите, установени в Правилника за длъжностните лица на Европейския съюз и Условията за работа на другите служители на Съюза, установени в Регламент (ЕИО, Евратом, ЕОВС) № 259/68 (10) („Правилник за длъжностните лица“).

(84)

За да се гарантират еднакви условия за прилагането на настоящия регламент, на Комисията следва да бъдат предоставени изпълнителни правомощия. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (11). За приемането на стандартните договорни клаузи между администратори и обработващи лични данни и между обработващи лични данни, за приемането на списък на операциите по обработване, за които е необходима предварителна консултация с Европейския надзорен орган по защита на данните от администраторите, обработващи лични данни при изпълнението на задача от обществен интерес и за приемането на стандартни договорни клаузи, предвиждащи подходящи гаранции за международно предаване на данни, следва да бъде използвана процедурата по разглеждане.

(85)

Поверителната информация, която статистическите органи на национално равнище и на равнището на Съюза събират за изготвянето на официална европейска и официална национална статистика, следва да бъде защитена. Европейската статистика следва да се разработва, изготвя и разпространява в съответствие със статистическите принципи, установени в член 338, параграф 2 от ДФЕС. Регламент (ЕО) № 223/2009 на Европейския парламент и на Съвета (12) конкретизира допълнително изискванията относно поверителността на данните на европейската статистика.

(86)

Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО на Европейския парламент, на Съвета и на Комисията (13) следва да бъдат отменени. Позоваванията на отменения регламент и на отмененото решение следва да се считат за позовавания на настоящия регламент.

(87)

За да се гарантира пълната независимост на членовете на независимия надзорен орган, мандатите на настоящия Европейски надзорен орган по защита на данните и неговия заместник следва да не бъдат засегнати от настоящия регламент. Настоящият заместник следва да продължи да изпълнява мандата си до края на срока му, освен ако е изпълнено някое от условията за преждевременно прекратяване на мандата на Европейския надзорен орган по защита на данните, определени в настоящия регламент. До края на мандата на заместника спрямо него следва да се прилагат съответните разпоредби на настоящия регламент.

(88)

В съответствие с принципа на пропорционалност е необходимо и подходящо за постигането на основната цел за осигуряване на еквивалентно ниво на защита на физическите лица във връзка с обработването на лични данни и свободното движение на лични данни навсякъде в Съюза да бъдат установени правила относно обработването на лични данни в институциите и органите на Съюза. С настоящия регламент не се надхвърля необходимото за постигането на поставените цели в съответствие с член 5, параграф 4 от ДЕС.

(89)

В съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 беше проведена консултация с Европейския надзорен орган по защита на данните, който представи становище на 15 март 2017 г. (14),

ПРИЕХА НАСТОЯЩИЯ РЕГЛАМЕНТ:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет и цели

1.   С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни от институциите и органите на Съюза, както и правилата по отношение на свободното движение на лични данни между тях или до други получатели, установени в Съюза.

2.   С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

3.   Европейският надзорен орган по защита на данните следи за прилагането на разпоредбите на настоящия регламент по отношение на всички операции по обработване на лични данни, извършвани от институция или орган на Съюза.

Член 2

Обхват

1.   Настоящият регламент се прилага за обработването на лични данни от всички институции и органи на Съюза.

2.   Само член 3 и глава IХ от настоящия регламент се прилагат за обработването на лични данни от оперативен характер от страна на органите, службите и агенциите на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС.

3.   Настоящият регламент не се прилага за обработването на лични данни от оперативен характер от страна на Европол и Европейската прокуратура, преди да се адаптират Регламент (ЕС) 2016/794 на Европейския парламент и на Съвета (15) и Регламент (ЕС) 2017/1939 на Съвета (16) в съответствие с член 98 от настоящия регламент.

4.   Настоящият регламент не се прилага за обработването на лични данни от мисиите, посочени в член 42, параграф 1 и членове 43 и 44 от ДЕС.

5.   Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

Член 3

Определения

За целите на настоящия регламент се прилагат следните определения:

1)

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице;

2)

„лични данни от оперативен характер“ означава всички лични данни, които се обработват от органи, служби или агенции на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС, за постигане на целите и изпълнение на задачите, определени в правните актове за създаване на тези органи, служби или агенции;

3)

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

4)

„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

5)

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

6)

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

7)

„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

8)

„администратор“ означава институцията или органа на Съюза, или генералната дирекция, или всяка друга организационна структура, която самостоятелно или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за обработването са определени със специален акт на Съюза, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза;

9)

„администратори, различни от институции и органи на Съюза“ означава администратори по смисъла на член 4, точка 7 от Регламент (ЕС) 2016/679 и администратори по смисъла на член 3, точка 8 от Директива (ЕС) 2016/680;

10)

„институции и органи на Съюза“ означава институциите, органите, службите и агенциите на Съюза, създадени с ДЕС, ДФЕС или Договора за Евратом или въз основа на тези договори;

11)

„компетентен орган“ означава всеки публичен орган в държава членка, който е компетентен за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване;

12)

„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

13)

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от тези публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

14)

„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

15)

„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

16)

„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

17)

„генетични данни“ означава лични данни, свързани с наследените или придобити генетични белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

18)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

19)

„данни за здравословното състояние“ означава лични данни, свързани с физическото или психичното здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

20)

„услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, буква б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (17);

21)

„международна организация“ означава организация и нейните подчинени органи, регламентирана от международното публично право, или всеки друг орган, създаден чрез споразумение между две или повече държави или въз основа на такова споразумение;

22)

„национален надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51 от Регламент (ЕС) 2016/679 или съгласно член 41 от Директива (ЕС) 2016/680;

23)

„ползвател“ означава всяко физическо лице, използващо мрежа или крайно устройство, които функционират под контрола на институция или орган на Съюза;

24)

„указател“ означава обществено достъпен указател на ползвателите или вътрешен указател на ползвателите, който е наличен в институция или орган на Съюза или е споделен между институциите и органите на Съюза, независимо дали е на хартиен носител, или в електронна форма.

25)

„електронна съобщителна мрежа“ означава преносна система, независимо дали базирана на постоянна инфраструктура, или на централизиран административен капацитет, и когато е приложимо — комутационно или маршрутизиращо оборудване и други ресурси, включително неактивни мрежови елементи, които позволяват преноса на сигнали посредством проводници, радиовълни, оптични или други електромагнитни способи, включително спътникови мрежи, фиксирани (с комутиране на канали и пакети, включително интернет) и мобилни наземни мрежи, електропроводни системи, доколкото са използвани за пренос на сигнали, мрежи, използвани за радио- и телевизионно разпръскване и кабелни телевизионни мрежи, независимо от типа на пренасяната информация;

26)

„крайно устройство“ означава крайно устройство съгласно определението в член 1, точка 1 от Директива 2008/63/ЕО на Комисията (18).

ГЛАВА II

ОБЩИ ПРИНЦИПИ

Член 4

Принципи, свързани с обработването на лични данни

1.   Личните данни:

а)

се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б)

се събират за конкретни, изрично указани и законни цели и не се обработват по-нататък по начин, който е несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 13, за несъвместимо с първоначалните цели („ограничение на целите“);

в)

са адекватни, относими и не надхвърлят необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г)

са точни и при необходимост се актуализират; трябва да се предприемат всички разумни мерки, за да се гарантира незабавното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д)

се съхраняват във вид, който позволява идентифицирането на субектите на данните за период, не по-дълъг от необходимия за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 13, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е)

се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).

2.   Администраторът носи отговорност за спазването на параграф 1 и трябва да е в състояние да го докаже („отчетност“).

Член 5

Законосъобразност на обработването

1.   Обработването е законосъобразно само ако и доколкото е приложимо поне едно от следните условия:

а)

обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официално правомощие, което е предоставено на институцията или органа на Съюза;

б)

обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

в)

обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

г)

субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

д)

обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.

2.   Основанието за обработването, посочено в параграф 1, букви а) и б), се установява в правото на Съюза.

Член 6

Обработване за друга съвместима цел

Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 25, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

а)

всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;

б)

контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора;

в)

естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно член 10, или се обработват лични данни, отнасящи се до присъди и престъпления, съгласно член 11;

г)

възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;

д)

наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.

Член 7

Условия за даване на съгласие

1.   Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.

2.   Ако съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, искането за съгласие се представя по начин, който ясно да го отличава от другите въпроси, в разбираема и лесно достъпна форма, като се използва ясен и прост език. Никоя част от такава декларация, която представлява нарушение на настоящия регламент, не е обвързваща.

3.   Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, субектът на данни трябва да бъде информиран за това. Оттеглянето на съгласие трябва да е също толкова лесно, колкото и даването му.

4.   Когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор.

Член 8

Условия, приложими за съгласието на дете във връзка с услугите на информационното общество

1.   Когато се прилага член 5, параграф 1, буква г) във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 13 години. Ако детето е под 13 години, това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или потвърдено от носещия родителска отговорност за детето.

2.   В такива случаи администраторът полага разумни усилия за удостоверяване, че съгласието е дадено или потвърдено от носещия родителска отговорност за детето, като взема предвид наличната технология.

3.   Параграф 1 не засяга общото договорно право на държавите членки като разпоредбите относно действителността, сключването или последиците от даден договор по отношение на дете.

Член 9

Предаване на лични данни на установени в Съюза получатели, различни от институции и органи на Съюза

1.   Без да се засягат членове 4—6 и член 10, лични данни се предават само на установени в Съюза получатели, различни от институции и органи на Съюза, ако:

а)

получателят установи, че данните са необходими за изпълнението на задача от обществен интерес или при упражняването на предоставени на получателя официални правомощия, или

б)

получателят установи, че е необходимо данните да бъдат предадени за конкретна цел от обществен интерес, а администраторът, ако има някакво основание да се предполага, че законните интереси на субекта на данните могат да бъдат накърнени, установи, че е пропорционално личните данни да бъдат предадени специално за тази цел, след като е претеглил по безспорен начин различните противоречащи си интереси.

2.   Когато администраторът започва предаването по силата на настоящия член, той доказва, че предаването на лични данни е необходимо и пропорционално за целите на предаването, като прилага критериите, определени в параграф 1, буква а) или буква б).

3.   Институциите и органите на Съюза съгласуват правото на защита на личните данни с правото на достъп до документи в съответствие с правото на Съюза.

Член 10

Обработване на специални категории лични данни

1.   Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в професионални съюзи, както и обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравето или сексуалния живот и сексуалната ориентация на лицето.

2.   Параграф 1 не се прилага, ако е налице едно от следните условия:

а)

субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;

б)

обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила дотолкова, доколкото това е разрешено от правото на Съюза, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;

в)

обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

г)

обработването се извършва в хода на законно упражняваните дейности и при подходящи мерки за защита от орган с нестопанска цел, който представлява интегрирана в дадена институция или орган на Съюза структура, с политическа, философска, религиозна или профсъюзна цел и при условие че обработването касае единствено членове или бивши членове на този орган или лица, които редовно контактуват с него във връзка с неговите цели, и че данните не се разкриват пред трета страна без съгласието на субектите на данните;

д)

обработването е свързано с лични данни, които са направени по явен начин обществено достояние от субекта на данните;

е)

обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато Съдът действа в качеството си на правораздаващ орган;

ж)

обработването е необходимо по причини от важен обществен интерес на основание на правото на Съюза, което е пропорционално на набелязаната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

з)

обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинска диагноза, осигуряването на здравни или социални грижи или лечение или за целите на управлението на услугите и системите за здравеопазване или социални грижи на основание на правото на Съюза или съгласно договор с медицинско лице и при условията и гаранциите, посочени в параграф 3;

и)

обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, на основание на правото на Съюза, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна; или

й)

обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели на основание на правото на Съюза, което е пропорционално на набелязаната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.

3.   Личните данни, посочени в параграф 1, може да бъдат обработвани за целите, посочени в параграф 2, буква з), когато въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за опазване на професионална тайна по силата на правото на Съюза или на държава членка или на правилата, установени от националните компетентни органи, или от друго лице, което също е обвързано от задължение за опазване на тайна по силата на правото на Съюза или на държава членка или на правилата, установени от националните компетентни органи.

Член 11

Обработване на лични данни, свързани с присъди и престъпления

Обработването на лични данни, свързани с присъди и престъпления или със свързаните с тях мерки за сигурност въз основа на член 5, параграф 1, се извършва само под контрола на официален орган или когато обработването е разрешено от правото на Съюза, в което са предвидени подходящи гаранции за правата и свободите на субектите на данни.

Член 12

Обработване, за което не се изисква идентифициране

1.   Ако целите, за които администратор обработва лични данни, не изискват или вече не изискват идентифициране на субекта на данните от администратора, администраторът не е задължен да поддържа, да се сдобие с или да обработи допълнителна информация, за да идентифицира субекта на данни с единствената цел да бъде спазен настоящият регламент.

2.   Когато в случаи, посочени в параграф 1 от настоящия член, администраторът може да докаже, че не е в състояние да идентифицира субекта на данни, администраторът уведомява съответно субекта на данни, ако това е възможно. В такива случаи членове 17 — 22 не се прилагат, освен когато субектът на данни, с цел да упражни правата си по тези членове, предостави допълнителна информация, позволяваща неговото идентифициране.

Член 13

Гаранции, свързани с обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели

Обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели подлежи в съответствие с настоящия регламент на подходящи гаранции за правата и свободите на субекта на данни. Тези гаранции осигуряват наличието на технически и организационни мерки, по-специално с оглед на спазването на принципа на свеждане на данните до минимум. Мерките може да включват псевдонимизация, при условие че посочените цели могат да бъдат постигнати по този начин. Когато посочените цели могат да бъдат постигнати чрез по-нататъшно обработване, което не позволява или повече не позволява идентифицирането на субектите на данни, целите се постигат по този начин.

ГЛАВА III

ПРАВА НА СУБЕКТА НА ДАННИ

РАЗДЕЛ 1

Прозрачност и условия

Член 14

Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни

1.   Администраторът предприема необходимите мерки за предоставяне на субекта на данните на всякаква информация по членове 15 и 16 и на всякаква комуникация по членове 17—24 и член 35, която се отнася до обработването, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при условие че идентичността на субекта на данните е доказана с други средства.

2.   Администраторът съдейства за упражняването на правата на субекта на данните по членове 17—24. В случаите, посочени в член 12, параграф 2, администраторът не отказва да предприеме действия по искане на субекта на данните за упражняване на правата му по членове 17—24, освен ако докаже, че не е в състояние да идентифицира субекта на данните.

3.   Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 17—24, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се вземат предвид сложността и броят на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни е поискал друго.

4.   Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до Европейския надзорен орган по защита на данните и търсене на защита по съдебен ред.

5.   Информацията по членове 15 и 16 и всякаква комуникация и действия по членове 17—24 и член 35 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може да откаже да предприеме действия по искането. Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

6.   Без да се засягат разпоредбите на член 12, когато администраторът има основателни съмнения във връзка със самоличността на физическото лице, което подава искане по членове 17—23, той може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

7.   Информацията, която трябва да се предостави на субектите на данни съгласно членове 15 и 16, може да бъде предоставена в комбинация със стандартизирани икони, чрез което по лесно видим, разбираем и ясно четим начин да се представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.

8.   Ако Комисията приеме съгласно член 12, параграф 8 от Регламент (ЕС) 2016/679 делегирани актове за определяне на информацията, която трябва да бъде представена под формата на икони, и на процедурите за предоставяне на стандартизирани икони, институциите и органите на Съюза предоставят, когато е целесъобразно, в комбинация с тези стандартизирани икони информацията по членове 15 и 16 от настоящия регламент.

РАЗДЕЛ 2

Информация и достъп до лични данни

Член 15

Информация, предоставяна при събиране на лични данни от субекта на данните

1.   Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

а)

самоличността и координатите за връзка на администратора;

б)

координатите за връзка на длъжностното лице по защита на данните;

в)

целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г)

получателите или категориите получатели на личните данни, ако има такива;

д)

когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или липсата на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно член 48, позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

2.   Освен информацията, посочена в параграф 1, в момента на получаване на личните данни администраторът предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

а)

срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)

съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или когато е приложимо, право да се направи възражение срещу обработването или правото на преносимост на данните;

в)

когато обработването се основава на член 5, параграф 1, буква г) или член 10, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

г)

правото на подаване на жалба до Европейския надзорен орган по защита на данните;

д)

дали предоставянето на лични данни е законоустановено или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и какви са евентуалните последствия, ако тези данни не бъдат предоставени;

е)

съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 24, параграфи 1 и 4, и поне в тези случаи — съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3.   Когато администраторът възнамерява да обработва по-нататък личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

4.   Параграфи 1, 2 и 3 не се прилагат, когато и доколкото субектът на данните вече разполага с информацията.

Член 16

Информация, предоставяна, когато личните данни не са получени от субекта на данните

1.   Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

а)

самоличността и координатите за връзка на администратора;

б)

координатите за връзка на длъжностното лице по защита на данните;

в)

целите на обработването, за което са предназначени личните данни, както и правното основание за обработването;

г)

съответните категории лични данни;

д)

получателите или категориите получатели на личните данни, ако има такива;

е)

когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или липсата на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно член 48, позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

2.   Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната допълнителна информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

а)

срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)

съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или когато е приложимо, право да се направи възражение срещу обработването или правото на преносимост на данните;

в)

когато обработването се основава на член 5, параграф 1, буква г) или член 10, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

г)

правото на подаване на жалба до Европейския надзорен орган по защита на данните;

д)

източника на личните данни и ако е приложимо, дали данните са от обществено достъпен източник;

е)

съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 24, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3.   Администраторът предоставя информацията, посочена в параграфи 1 и 2:

а)

в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;

б)

ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или

в)

ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

4.   Когато администраторът възнамерява да обработва по-нататък личните данни за цел, различна от тази, за която са придобити, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

5.   Параграфи 1—4 не се прилагат, когато и доколкото:

а)

субектът на данните вече разполага с информацията;

б)

предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия; по-специално за обработване на данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели или доколкото съществува вероятност задължението, посочено в параграф 1 от настоящия член, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване;

в)

получаването или разкриването е изрично установено от правото на Съюза, в което са предвидени подходящи мерки за защита на законните интереси на субекта на данните; или

г)

личните данни трябва да останат поверителни при спазване на задължение за опазване на професионална тайна, което се урежда от правото на Съюза, включително законовото задължение за опазване на тайна.

6.   В случаите по параграф 5, буква б) администраторът взема подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, включително като предоставя обществен достъп до информацията.

Член 17

Право на достъп на субекта на данните

1.   Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

а)

целите на обработването;

б)

съответните категории лични данни;

в)

получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

г)

когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

д)

съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

е)

правото на подаване на жалба до Европейския надзорен орган по защита на данните;

ж)

когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

з)

съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 24, параграфи 1 и 4, и поне в тези случаи — съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

2.   Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 48 във връзка с предаването.

3.   Администраторът предоставя копие от личните данни, които са в процес на обработване. Когато субектът на данни подава искане с електронни средства, информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни е поискал друго.

4.   Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица.

РАЗДЕЛ 3

Коригиране и изтриване

Член 18

Право на коригиране

Субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването, субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез предоставяне на допълнителна декларация.

Член 19

Право на изтриване (право „да бъдеш забравен“)

1.   Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от следните основания:

а)

личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б)

субектът на данните оттегля своето съгласие, върху което се основава обработването на данните съгласно член 5, параграф 1, буква г) или член 10, параграф 2, буква а), и няма друго правно основание за обработването;

в)

субектът на данните възразява срещу обработването съгласно член 23, параграф 1 и няма законни основания за обработването, които да имат предимство;

г)

личните данни са били обработвани незаконосъобразно;

д)

личните данни трябва да бъдат изтрити с цел спазването на правно задължение, което се прилага спрямо администратора;

е)

личните данни са били събрани във връзка с предлагането на услуги на информационното общество по член 8, параграф 1.

2.   Когато администраторът е направил личните данни обществено достояние и е задължен съгласно параграф 1 да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите или администраторите, различни от институции и органи на Съюза, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

3.   Параграфи 1 и 2 не се прилагат, доколкото обработването е необходимо:

а)

за упражняване на правото на свобода на изразяването и правото на информация;

б)

за спазване на правно задължение, което се прилага спрямо администратора, или за изпълнението на задача от обществен интерес, или при упражняването на официални правомощия, които са предоставени на администратора;

в)

по причини от обществен интерес в областта на общественото здраве в съответствие с член 10, параграф 2, букви з) и и), както и член 10, параграф 3;

г)

за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, доколкото съществува вероятност правото, посочено в параграф 1, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или

д)

за установяването, упражняването или защитата на правни претенции.

Член 20

Право на ограничаване на обработването

1.   Субектът на данните има право да изиска от администратора ограничаване на обработването, когато е налице едно от следните условия:

а)

точността на личните данни се оспорва от субекта на данните — за срок, който позволява на администратора да провери точността, включително пълнотата, на личните данни;

б)

обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

в)

администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

г)

субектът на данните е възразил срещу обработването съгласно член 23, параграф 1 в очакване на проверка дали законните основания на администратора имат предимство пред интересите на субекта на данните.

2.   Когато обработването е ограничено съгласно параграф 1, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции, или за защита на правата на друго физическо или юридическо лице, или поради важни причини от обществен интерес за Съюза или държава членка.

3.   Когато субект на данните е изискал ограничаване на обработването съгласно параграф 1, администраторът го информира преди отмяната на ограничаването на обработването.

4.   В автоматизираните регистри с лични данни ограничаването на обработването по принцип се осигурява с технически средства. Фактът, че обработването на личните данни е ограничено, се указва в регистъра по начин, който ясно показва, че личните данни не могат да се ползват.

Член 21

Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването

Администраторът съобщава за всяко извършено в съответствие с член 18, член 19, параграф 1 и член 20 коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните относно тези получатели, ако субектът на данните поиска това.

Член 22

Право на преносимост на данните

1.   Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато:

а)

обработването е основано на съгласие в съответствие с член 5, параграф 1, буква г) или член 10, параграф 2, буква а) или на договор съгласно член 5, параграф 1, буква в); и

б)

обработването се извършва с автоматични средства.

2.   Когато упражнява правото си на преносимост на данните по параграф 1, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг или към администратори, различни от институции и органи на Съюза, когато това е технически осъществимо.

3.   Упражняването на правото, посочено в параграф 1 от настоящия член, не засяга член 19. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.

4.   Правото, посочено в параграф 1, не влияе неблагоприятно върху правата и свободите на други лица.

РАЗДЕЛ 4

Право на възражение и автоматизирано вземане на индивидуални решения

Член 23

Право на възражение

1.   Субектът на данните има право по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 5, параграф 1, буква а), включително профилиране, основаващо се на посочената разпоредба. Администраторът прекратява обработването на личните данни, освен ако докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

2.   Най-късно в момента на първото осъществяване на контакт със субекта на данните той изрично се уведомява за съществуването на правото по параграф 1, което му се представя по ясен начин и отделно от всяка друга информация.

3.   Без да се засягат членове 36 и 37, в контекста на използването на услугите на информационното общество субектът на данните може да упражнява правото си на възражение чрез автоматични средства, като се използват технически спецификации.

4.   Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели, субектът на данните има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от обществен интерес.

Член 24

Автоматизирано вземане на индивидуални решения, включително профилиране

1.   Субектът на данните има право да не бъде адресат на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последици за него или по подобен начин го засяга в значителна степен.

2.   Параграф 1 не се прилага, ако решението:

а)

е необходимо за сключването или изпълнението на договор между субекта на данни и администратора;

б)

е разрешено от правото на Съюза, в което също се предвиждат подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните; или

в)

се основава на изричното съгласие на субекта на данни.

3.   В случаите, посочени в параграф 2, букви а) и в), администраторът прилага подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

4.   Решенията по параграф 2 от настоящия член не се основават на специалните категории лични данни, посочени в член 10, параграф 1, освен ако се прилага член 10, параграф 2, буква а) или буква ж) и са въведени подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните.

РАЗДЕЛ 5

Ограничения

Член 25

Ограничения

1.   Правни актове, приети въз основа на Договорите, или по въпроси, свързани с дейността на институциите и органите на Съюза, вътрешни правила, установени от тези органи и институции, могат да ограничават прилагането на членове 14—22, членове 35 и 36, както и на член 4, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—22, когато подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество с цел да се гарантират:

а)

националната сигурност, обществената сигурност или отбраната на държавите членки;

б)

предотвратяването, разследването, разкриването и наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност;

в)

други важни цели от широк обществен интерес за Съюза или за държава членка, по-специално целите на общата външна политика и политика на сигурност на Съюза или важен икономически или финансов интерес на Съюза или на държава членка, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;

г)

вътрешната сигурност на институциите и органите на Съюза, включително сигурността на техните електронни съобщителни мрежи;

д)

защитата на независимостта на съдебната власт и съдебните производства;

е)

предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регулираните професии;

ж)

функция по наблюдението, проверката или регламентирането, свързана, дори само понякога, с упражняването на официални правомощия в случаите, посочени в букви а)—в);

з)

защитата на субекта на данните или на правата и свободите на други лица;

и)

изпълнението по гражданскоправни претенции.

2.   По-специално, всички правни актове или вътрешни правила, посочени в параграф 1, съдържат специални разпоредби, където е целесъобразно, по отношение на:

а)

целите на обработването или категориите обработване;

б)

категориите лични данни;

в)

обхвата на въведените ограничения;

г)

гаранциите за предотвратяване на злоупотреби или незаконен достъп или предаване;

д)

спецификациите на администратора или на категориите администратори;

е)

сроковете на съхранение и приложимите гаранции, като се вземат предвид естеството, обхватът и целите на обработването или категориите обработване; и

ж)

рисковете за правата и свободите на субектите на данни.

3.   Когато личните данни се обработват за целите на научни или исторически изследвания или за статистически цели, в правото на Съюза, което може да включва вътрешни правила, приети от институции и органи на Съюза по въпроси, свързани с тяхната дейност, могат да бъдат предвидени дерогации от правата, посочени в членове 17, 18, 20 и 23, при спазване на условията и гаранциите, посочени в член 13, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели и посочените дерогации са необходими за постигането на тези цели.

4.   Когато личните данни се обработват за целите на архивирането в обществен интерес, в правото на Съюза, което може да включва вътрешни правила, приети от институции и органи на Съюза по въпроси, свързани с тяхната дейност, може да бъдат предвидени дерогации от правата, посочени в членове 17, 18, 20, 21, 22 и 23, при спазване на условията и гаранциите, посочени в член 13, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели и посочените дерогации са необходими за постигането на тези цели.

5.   Вътрешните правила, посочени в параграфи 1, 3 и 4, са ясни и точни актове от общ характер, които са предназначени да породят правни последици по отношение на субектите на данни, приети са на най-високото равнище на управление на институциите и органите на Съюза и подлежат на публикуване в Официален вестник на Европейския съюз.

6.   Ако бъде наложено ограничение съгласно параграф 1, субектът на данните се информира в съответствие с правото на Съюза за основните причини, на които се основава прилагането на ограничението, и за правото му да подаде жалба до Европейския надзорен орган по защита на данните.

7.   Ако ограничение, наложено съгласно параграф 1, се използва за обосноваване на отказ на достъп на субекта на данните, при разглеждане на жалбата Европейският надзорен орган по защита на данните го информира единствено за това дали данните са били правилно обработени и ако не са, дали са извършени необходимите корекции.

8.   Предоставянето на информацията, посочена в параграфи 6 и 7 от настоящия член и в член 45, параграф 2, може да бъде отложено, пропуснато или отказано, ако предоставянето би премахнало ефекта от ограничението, наложено съгласно параграф 1 от настоящия член.

ГЛАВА IV

АДМИНИСТРАТОР И ОБРАБОТВАЩ ЛИЧНИ ДАННИ

РАЗДЕЛ 1

Общи задължения

Член 26

Отговорност на администратора

1.   Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

2.   Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните.

3.   Придържането към одобрени механизми за сертифициране, посочени в член 42 от Регламент (ЕС) 2016/679, може да се използва като елемент, с който да се докаже спазването на задълженията на администратора.

Член 27

Защита на данните на етапа на проектирането и по подразбиране

1.   Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни.

2.   Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. По-специално подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

3.   Като елемент за доказване на спазването на изискванията, предвидени в параграфи 1 и 2 от настоящия член, може да се използва одобрен механизъм за сертифициране съгласно член 42 от Регламент (ЕС) 2016/679.

Член 28

Съвместни администратори

1.   Когато двама или повече администратори или един или повече администратори, или съвместно с един или повече администратори, различни от институции и органи на Съюза, съвместно определят целите и средствата на обработването, те са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си за защита на данните, по-специално що се отнася до упражняването на правата на субекта на данни и съответните си задължения за предоставяне на информацията, посочена в членове 15 и 16, посредством договореност помежду си, освен ако и доколкото съответните отговорности на съвместните администратори не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо съвместните администратори. В договореността може да се посочи точка за контакт за субектите на данни.

2.   Договореността, посочена в параграф 1, надлежно отразява съответните роли и връзки на съвместните администратори спрямо субектите на данни. Съществените характеристики на договореността са достъпни за субекта на данните.

3.   Независимо от условията на договореността, посочена в параграф 1, субектът на данните може да упражнява своите права съгласно настоящия регламент по отношение на всеки и срещу всеки от администраторите.

Член 29

Обработващ личните данни

1.   Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на настоящия регламент и да гарантира защитата на правата на субектите на данни.

2.   Обработващият лични данни не включва друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение обработващият лични данни винаги информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като по този начин дава възможност на администратора да оспори тези промени.

3.   Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

а)

обработва личните данни само по документирано нареждане на администратора, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това съгласно правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни; в такъв случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;

б)

гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в)

взема всички необходими мерки съгласно член 33;

г)

спазва условията по параграфи 2 и 4 за включване на друг обработващ лични данни;

д)

като взема предвид естеството на обработването, подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на предвидените в глава III права на субектите на данни;

е)

подпомага администратора да гарантира изпълнението на задълженията съгласно членове 33—41, като отчита естеството на обработване и информацията, до която е осигурен достъп на обработващия лични данни;

ж)

по избор на администратора заличава или връща на администратора всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка изисква тяхното съхранение;

з)

осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.

Предвид буква з) от първа алинея обработващият лични данни незабавно уведомява администратора, ако според него дадено нареждане нарушава настоящия регламент или други разпоредби на Съюза или на държавите членки относно защитата на данни.

4.   Когато обработващ лични данни включва друг обработващ лични данни за извършването на специфични дейности по обработване от името на администратора, чрез договор или друг правен акт съгласно правото на Съюза или правото на държава членка на това друго лице се налагат същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между администратора и обработващия лични данни, както е посочено в параграф 3, по-специално да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на настоящия регламент. Когато другият обработващ лични данни не изпълни задължението си за защита на данните, първоначалният обработващ данните продължава да носи пълна отговорност пред администратора за изпълнението на задълженията на този друг обработващ лични данни.

5.   Когато обработващ лични данни не е институция или орган на Съюза, придържането на този обработващ към одобрен кодекс за поведение, посочен в член 40, параграф 5 от Регламент (ЕС) 2016/679, или към одобрен механизъм за сертифициране, посочен в член 42 от Регламент (ЕС) 2016/679, може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграфи 1 и 4 от настоящия член.

6.   Без да се засягат разпоредбите на индивидуален договор между администратора и обработващия лични данни, договорът или другият правен акт, посочени в параграфи 3 и 4 от настоящия член, може да се основават изцяло или отчасти на стандартни договорни клаузи, посочени в параграфи 7 и 8 от настоящия член, включително когато са част от сертифициране, предоставено на обработващия лични данни, различен от институция или орган на Съюза, съгласно член 42 от Регламент (ЕС) 2016/679.

7.   Комисията може да установява стандартни договорни клаузи по въпроси, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с процедурата по разглеждане, посочена в член 96, параграф 2.

8.   Европейският надзорен орган по защита на данните може да приема стандартни договорни клаузи по въпросите, посочени в параграфи 3 и 4.

9.   Договорът или другият правен акт, посочени в параграфи 3 и 4, се изготвят в писмена форма, включително в електронна форма.

10.   Без да се засягат членове 65 и 66, ако обработващ лични данни наруши настоящия регламент, определяйки целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

Член 30

Обработване под ръководството на администратора или обработващия лични данни

Обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването се изисква от правото на Съюза или правото на държава членка.

Член 31

Регистри на дейности по обработване

1.   Всеки администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

а)

името и координатите за връзка на администратора, на длъжностното лице по защита на данните и когато е приложимо, на обработващия лични данни и на съвместните администратори;

б)

целите на обработването;

в)

описание на категориите субекти на данни и на категориите лични данни;

г)

категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в държави членки, трети държави или международни организации;

д)

когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация и документация за подходящите гаранции;

е)

когато е възможно, предвидените срокове за изтриване на различните категории данни;

ж)

когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 33.

2.   Всеки обработващ лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:

а)

името и координатите за връзка на обработващия или обработващите лични данни, на всеки администратор, от чието име действа обработващият лични данни, и на длъжностното лице за защита на данните;

б)

категориите обработване, извършвано от името на всеки администратор;

в)

когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация и документация за подходящите гаранции;

г)

когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 33.

3.   Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

4.   Институциите и органите на Съюза предоставят на Европейския надзорен орган по защита на данните достъп до регистрите при поискване от негова страна.

5.   Освен ако това не е целесъобразно, като се има предвид размерът на институцията или органа на Съюза, институциите и органите на Съюза съхраняват своите регистри на дейностите по обработване в централен регистър. Те предоставят обществен достъп до този регистър.

Член 32

Сътрудничество с Европейския надзорен орган по защита на данните

При поискване от Европейския надзорен орган по защита на данните институциите и органите на Съюза му сътрудничат при изпълнението на неговите задачи.

РАЗДЕЛ 2

Сигурност на личните данни

Член 33

Сигурност на обработването

1.   Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

а)

псевдонимизация и криптиране на личните данни;

б)

способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

в)

способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г)

процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

2.   При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

3.   Администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице се изисква да прави това по силата на правото на Съюза.

4.   Придържането към одобрен механизъм за сертифициране, посочен в член 42 от Регламент (ЕС) 2016/679, може да се използва като елемент, за да се докаже спазването на изискванията, предвидени в параграф 1 от настоящия член.

Член 34

Уведомяване на Европейския надзорен орган по защита на данните за нарушение на сигурността на личните данни

1.   В случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Европейския надзорен орган по защита на данните, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до Европейския надзорен орган по защита на данните съдържа причините за забавянето, когато не е подадено в срок от 72 часа.

2.   Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.

3.   В уведомлението, посочено в параграф 1, се съдържа най-малко следното:

а)

описание на естеството на нарушението на сигурността на личните данни, включително, когато това е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителният брой на засегнатите записи на лични данни;

б)

посочване на името и координатите за връзка на длъжностното лице по защита на данните;

в)

описание на евентуалните последици от нарушението на сигурността на личните данни;

г)

описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

4.   Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

5.   Администраторът уведомява длъжностното лице по защита на данните за нарушението на сигурността на личните данни.

6.   Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на Европейския надзорен орган по защита на данните да провери дали е спазен настоящият член.

Член 35

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1.   Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът без ненужно забавяне съобщава на субекта на данните за нарушението на сигурността на личните данни.

2.   В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени в член 34, параграф 3, букви б), в) и г).

3.   Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия:

а)

администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б)

администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се осъществи високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

в)

то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

4.   Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, Европейският надзорен орган по защита на данните може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията, посочени в параграф 3.

РАЗДЕЛ 3

Поверителност на електронните съобщения

Член 36

Поверителност на електронните съобщения

Институциите и органите на Съюза гарантират поверителността на електронните съобщения, по-специално като осигуряват сигурността на своите електронни съобщителни мрежи.

Член 37

Защита на информацията, предавана към, съхранявана в, свързана с, обработвана и събирана от крайните устройства на ползвателите

Институциите и органите на Съюза защитават информацията, предавана към, съхранявана в, свързана с, обработвана и събирана от крайните устройства на ползвателите, осъществяващи достъп до техните обществено достъпни уебсайтове и мобилни приложения в съответствие с член 5, параграф 3 от Директива 2002/58/ЕО.

Член 38

Указатели на ползвателите

1.   Личните данни, които се съдържат в указатели на ползвателите, както и достъпът до такива указатели се ограничават до степента, която е строго необходима за специфичните цели на указателите.

2.   Институциите и органите на Съюза предприемат всички необходими мерки за предотвратяване на използването на съдържащите се в посочените указатели лични данни за целите на директния маркетинг, независимо дали те са достъпни за обществеността или не.

РАЗДЕЛ 4

Оценка на въздействието върху защитата на данните и предварителни консултации

Член 39

Оценка на въздействието върху защитата на данните

1.   Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

2.   При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на длъжностното лице по защита на данните.

3.   Оценката на въздействието върху защитата на данните, посочена в параграф 1, се изисква по-специално в случай на:

а)

систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматизирано обработване, включително профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;

б)

мащабно обработване на специални категории данни, посочени в член 10, или на свързани с присъди и престъпления лични данни, посочени в член 11; или

в)

систематично мащабно наблюдение на публично достъпна зона.

4.   Европейският надзорен орган по защита на данните съставя и оповестява списък на видовете операции по обработване, за които се изисква оценка на въздействието върху защитата на данните съгласно параграф 1.

5.   Европейският надзорен орган по защита на данните може също да състави и оповести списък на видовете операции по обработване, за които не се изисква оценка на въздействието върху защитата на данните.

6.   Преди приемането на списъците, посочени в параграфи 4 и 5 от настоящия член, Европейският надзорен орган по защита на данните отправя исканe до Европейския комитет по защита на данните, създаден с член 68 от Регламент (ЕС) 2016/679, да проучи тези списъци в съответствие с член 70, параграф 1, буква д) от посочения регламент, когато тези списъци се отнасят до операции по обработване от администратор, действащ съвместно с един или повече администратори, различни от институции и органи на Съюза.

7.   Оценката съдържа най-малко:

а)

системен опис на предвидените операции по обработване и целите на обработването;

б)

оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в)

оценка на рисковете за правата и свободите на субектите на данни, посочени в параграф 1; и

г)

мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за гарантиране на защитата на личните данни и за доказване на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други засегнати лица.

8.   При оценката на въздействието на операциите по обработване, извършвани от съответните обработващи лични данни, различни от институции и органи на Съюза, надлежно се отчита и спазването от тяхна страна на одобрените кодекси за поведение, посочени в член 40 от Регламент (ЕС) 2016/679, по-специално за целите на оценката на въздействието върху защитата на данните.

9.   Когато е целесъобразно, администраторът се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на обществените интереси или сигурността на операциите по обработване.

10.   Когато обработването съгласно член 5, параграф 1, буква а) или б) има правно основание в правен акт, приет въз основа на Договорите, който регулира конкретната операция по обработване или набор от такива операции, и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието, предшестваща приемането на въпросния правен акт, параграфи 1 6 от настоящия член не се прилагат, освен ако във въпросния правен акт не е предвидено друго.

11.   При необходимост администраторът прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.

Член 40

Предварителна консултация

1.   Администраторът се консултира с Европейския надзорен орган по защита на данните преди обработването, когато оценката на въздействието върху защитата на данните съгласно член 39 покаже, че при липса на гаранции, мерки за сигурност и механизми за ограничаване на риска обработването би довело до висок риск за правата и свободите на физическите лица, и администраторът счита, че рискът не може да бъде ограничен с разумни средства с оглед на наличните технологии и разходи за прилагане. Администраторът иска становището на длъжностното лице по защита на данните относно необходимостта от предварителна консултация.

2.   Когато Европейският надзорен орган по защита на данните е на мнение, че планираното обработване, посочено в параграф 1, нарушава настоящия регламент, особено когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, Европейският надзорен орган по защита на данните в срок до осем седмици от получаване на искането за консултация дава писмено становище на администратора и когато е приложимо, на обработващия лични данни, като може да използва всяко от правомощията си, посочени в член 58. Този срок може да бъде удължен с още шест седмици предвид сложността на планираното обработване. Европейският надзорен орган по защита на данните информира администратора и когато е приложимо, обработващия лични данни за такова удължаване в срок от един месец от получаване на искането за консултация, включително за причините за забавянето. Тези срокове могат да бъдат спрени, докато Европейският надзорен орган по защита на данните получи поисканата от него информация за целите на консултацията.

3.   Когато се консултира с Европейския надзорен орган по защита на данните в съответствие с параграф 1, администраторът предоставя на Европейския надзорен орган по защита на данните следната информация:

а)

когато е приложимо — информация за съответните отговорности на администратора, съвместните администратори и обработващите лични данни, участващи в обработването;

б)

целите на планираното обработване и средствата за него;

в)

предвидените мерки и гаранции за защита на правата и свободите на субектите на данни съгласно настоящия регламент;

г)

координатите за връзка на длъжностното лице по защита на данните;

д)

оценката на въздействието върху защитата на данните, предвидена в член 39; и

е)

всякаква друга информация, поискана от Европейския надзорен орган по защита на данните.

4.   Комисията може посредством акт за изпълнение да определи списък от случаи, в които администраторите трябва да се консултират с Европейския надзорен орган по защита на данните или да получат неговото предварително разрешение във връзка с обработването на лични данни за целите на изпълнението на задача, осъществявана от администратора в обществен интерес, включително обработването на такива данни във връзка със социалната закрила и общественото здраве.

РАЗДЕЛ 5

Информация и законодателни консултации

Член 41

Информация и консултации

1.   Институциите и органите на Съюза информират Европейския надзорен орган по защита на данните при изготвяне на административни мерки и вътрешни правила във връзка с обработването на лични данни от институция или орган на Съюза, независимо дали това обработване става самостоятелно или съвместно с други.

2.   Институциите и органите на Съюза провеждат консултации с Европейския надзорен орган по защита на данните, когато изготвят вътрешните правила, посочени в член 25.

Член 42

Законодателни консултации

1.   След приемането на предложения за законодателен акт и на препоръки или предложения до Съвета съгласно член 218 от ДФЕС или при подготовката на делегирани актове или актове за изпълнение„ Комисията се консултира с Европейския надзорен орган по защита на данните, когато има въздействие върху защитата на правата и свободите на физическите лица по отношение на обработването на лични данни.

2.   Когато акт, посочен в параграф 1, има особено значение за защита на правата и свободите на физическите лица по отношение на обработката на лични данни, Комисията може също така да се консултира с Европейския комитет по защита на данните. В тези случаи Европейският надзорен орган по защита на данните и Европейския комитет по защита на данните координират работата си с оглед на издаването на съвместно становище.

3.   Консултациите, посочени в параграфи 1 и 2, се предоставят в писмена форма в срок до осем седмици от получаване на искането за провеждане на консултация, посочена в параграфи 1 и 2. В спешни случаи или при друга необходимост Комисията може да съкрати крайния срок.

4.   Настоящият член не се прилага, когато Комисията е длъжна в съответствие с Регламент (ЕС) 2016/679 да се консултира с Европейския комитет по защита на данните.

РАЗДЕЛ 6

Длъжностно лице по защита на данните

Член 43

Определяне на длъжностното лице по защита на данните

1.   Всяка институция или орган на Съюза определя длъжностно лице по защита на данните.

2.   Няколко институции и органи на Съюза могат да определят за себе си едно-единствено длъжностно лице по защита на данните, като вземат предвид своите организационна структура и размер.

3.   Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 45.

4.   Длъжностното лице по защита на данните е член на персонала на институцията или органа на Съюза. Като се вземе предвид числения им състав и ако не е упражнено правото на избор посочено в параграф 2, институциите и органите на Съюза могат да определят длъжностно лице по защита на данните, което да изпълнява задачите си въз основа на договор за услуги.

5.   Институциите и органите на Съюза публикуват координатите за връзка на длъжностното лице по защита на данните и ги съобщават на Европейския надзорен орган по защита на данните.

Член 44

Длъжност на длъжностното лице по защита на данните

1.   Институциите и органите на Съюза гарантират, че длъжностното лице по защита на данните участва по подходящ начин и своевременно по всички въпроси, свързани със защитата на личните данни.

2.   Институциите и органите на Съюза подпомагат длъжностното лице по защита на данните при изпълнението на посочените в член 45 задачи, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване, а така също поддържат неговите експертни знания.

3.   Институциите и органите на Съюза гарантират, че длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Длъжностното лице по защита на данните се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни.

4.   Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент.

5.   Длъжностното лице по защита на данните и неговият персонал са длъжни да спазват секретността или поверителността на изпълняваните от тях задачи в съответствие с правото на Съюза.

6.   Длъжностното лице по защита на данните може да изпълнява и други задачи и задължения. Администраторът или обработващият лични данни гарантира, че тези задачи и задължения не водят до конфликт на интереси.

7.   Администраторът и обработващият личните данни, съответният комитет по персонала и всяко физическо лице могат да се консултират с длъжностното лице по защита на данните по всеки въпрос, отнасящ се до тълкуването или прилагането на настоящия регламент, без да е необходимо да следват официална процедура. Никой не трябва да претърпява неблагоприятни последици, поради това че е отнесъл до вниманието на компетентното длъжностно лице по защита на данните въпрос, твърдейки за наличие на извършено нарушение на разпоредбите на настоящия регламент.

8.   Длъжностното лице по защита на данните се назначава за срок от три до пет години и може да бъде преназначавано. Длъжностното лице по защита на данните може да бъде освободено от длъжността от институцията или органа на Съюза, който го е назначил, ако престане да отговаря на необходимите условия за изпълнение на своите задължения, само със съгласието на Европейския надзорен орган по защита на данните.

9.   След назначаване на длъжностното лице по защита на данните институцията или органът, който го е назначил, го регистрира при Европейския надзорен орган по защита на данните.

Член 45

Задачи на длъжностното лице по защита на данните

1.   Длъжностното лице по защита на данните изпълнява следните задачи:

а)

да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения съгласно настоящия регламент и други разпоредби на Съюза за защитата на данните;

б)

да осигурява по независим начин вътрешното прилагане на настоящия регламент, да наблюдава спазването на настоящия регламент, на други разпоредби за защитата на данните, съдържащи се в правото на Съюза, и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;

в)

да гарантира, че субектите на данните са информирани за своите права и задължения съгласно настоящия регламент;

г)

да предоставя при поискване съвети във връзка с необходимостта от уведомяване или съобщаване за нарушение на сигурността на личните данни съгласно членове 34 и 35;

д)

да предоставя при поискване съвети във връзка с оценката на въздействието върху защитата на данните и наблюдава извършването на оценката съгласно член 39, и да се консултира с Европейския надзорен орган по защита на данните в случай на съмнение относно необходимостта от оценка на въздействието върху защитата на данните;

е)

да предоставя при поискване съвети във връзка с необходимостта от предварителна консултация с Европейския надзорен орган по защита на данните съгласно член 40; и да се консултира с Европейския надзорен орган по защита на данните в случай на съмнение относно необходимостта от предварителна консултация;

ж)

да отговаря на запитвания от страна на Европейския надзорен орган по защита на данните; в рамките на своята компетентност, си сътрудничи с Европейския надзорен орган по защита на данните по негово искане или по своя собствена инициатива;

з)

да гарантира, че операциите по обработка не засягат неблагоприятно правата и свободите на субектите на данни.

2.   Длъжностното лице по защита на данните може да отправя на администратора и на обработващия лични данни препоръки за практическото подобряване на защитата на данните и да ги съветва по въпроси, свързани с прилагането на разпоредби относно защитата на данните. Освен това длъжностното лице по защита на данните може по своя инициатива или по искане на администратора или на обработващия лични данни, на съответния комитет по персонала или на всяко физическо лице да разследва пряко свързани с неговите задачи въпроси и факти, достигнали до знанието му, и да докладва обратно на лицето, което е възложило разследването, или на администратора или обработващия лични данни.

3.   Всяка институция или орган на Съюза приема допълнителни правила за прилагане, отнасящи се до длъжностното лице по защита на данните. Правилата за прилагане се отнасят в частност до задачите, задълженията и правомощията на длъжностното лице по защита на данните.

ГЛАВА V

ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Член 46

Общ принцип на предаването на данни

Предаване на лични данни, които се обработват или са предназначени за обработване след предаването на трета държава или на международна организация, се осъществява само ако при спазване на другите разпоредби на настоящия регламент, администраторът и обработващият лични данни спазват условията по настоящата глава, включително във връзка с последващи предавания на лични данни от третата държава или от международната организация на друга трета държава или на друга международна организация. Всички разпоредби на настоящата глава се прилагат, за да се гарантира, че нивото на защита на физическите лица, гарантирано от настоящия регламент, не се излага на риск.

Член 47

Предаване на данни въз основа на решение относно адекватното ниво на защита

1.   Предаване на лични данни на трета държава или на международна организация може да се осъществява, ако Комисията е решила в съответствие с член 45, параграф 3 от Регламент (ЕС) 2016/679 или член 36, параграф 3 от Директива (ЕС) 2016/680, че съответната трета държава, територия, или един или повече конкретни сектори в тази трета държава или съответната международна организация осигуряват адекватно ниво на защита и ако личните данни се предават единствено, за да стане възможно изпълнението на задачи от компетентността на администратора.

2.   Институциите и органите на Съюза информират Комисията и Европейския надзорен орган по защита на данните за случаи, в които те считат, че съответната трета държава, територия, или един или повече конкретни сектори в трета държава, или съответната международна организация не осигурява адекватно ниво на защита по смисъла на параграф 1.

3.   Институциите и органите на Съюза предприемат необходимите мерки, за да се съобразят с взетите от Комисията решения, когато съгласно член 45, параграфи 3 или 5 от Регламент (ЕС) 2016/679 или член 36, параграф 3 или 5 от Директива (ЕС) 2016/680, тя установява, че дадена трета държава територия, или един или повече конкретни сектори в трета държава, или международна организация осигурява или вече не осигурява адекватно ниво на защита.

Член 48

Предаване на данни, обвързани с подходящи гаранции

1.   При липса на решение съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679 или съгласно член 36, параграф 3 от Директива (ЕС) 2016/680, администраторът или обработващият лични данни може да предава лични данни на трета държава или на международна организация само ако администраторът или обработващият лични данни са предвидили подходящи гаранции и при условие че на субекта на данни са предоставени изпълняеми права в това негово качество и ефективни правни средства за защита.

2.   Подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени, без да се изисква специално разрешение от Европейския надзорен орган по защита на данните, посредством:

а)

правно обвързващ инструмент с изпълнителна сила между публичните органи или структури;

б)

стандартни клаузи за защита на данните, приети от Комисията в съответствие с процедурата по разглеждане, посочена в член 96, параграф 2;

в)

стандартни клаузи за защита на данните, приети от Европейския надзорен орган по защита на данните и одобрени от Комисията съгласно процедурата по разглеждане, посочена в член 96, параграф 2;

г)

когато обработващият лични данни не е институция или орган на Съюза, задължителни фирмени правила, кодекси за поведение и механизъм за сертифициране съгласно член 46, параграф 2, букви б), д) и е) от Регламент (ЕС) 2016/679.

3.   При условие че Европейският надзорен орган по защита на данните е дал разрешение, подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени по-специално и посредством:

а)

договорни клаузи между администратора или обработващия лични данни и администратора, обработващия лични данни или получателя на личните данни в третата държава или международната организация; или

б)

разпоредби, които да се включват в административните договорености между публичните органи или структури, съдържащи изпълняеми и ефективни права на субектите на данни.

4.   Разрешенията, издадени от Европейския надзорен орган по защита на данните въз основа на член 9, параграф 7 от Регламент (ЕО) № 45/2001, остават валидни, докато не бъдат изменени, заменени или отменени, ако е необходимо, от Европейския надзорен орган по защита на данните.

5.   Институциите и органите на Съюза информират Европейския надзорен орган по защита на данните за категориите случаи, в които настоящият член е бил приложен.

Член 49

Неразрешено от правото на Съюза предаване или разкриване на данни

Всяко решение на съд или трибунал и всяко решение на административен орган на трета държава, с което от администратор или обработващ лични данни се изисква да предаде или разкрие лични данни, могат да бъдат признати или да подлежат на изпълнение по какъвто и да било начин само ако се основават на международно споразумение, като договор за правна взаимопомощ, което е в сила между третата държава, отправила искането, и Съюза, без да се засягат другите основания за предаване на данни съгласно настоящата глава.

Член 50

Дерогации за особени случаи

1.   При липсата на решение относно адекватното ниво на защита съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679 или съгласно член 36, параграф 3 от Директива (ЕС) 2016/680 или на подходящи гаранции съгласно член 48 от настоящия регламент, предаване или съвкупност от предавания на лични данни на трета държава или международна организация се извършва само при едно от следните условия:

а)

субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за него поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции;

б)

предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;

в)

предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;

г)

предаването е необходимо поради важни причини от обществен интерес;

д)

предаването е необходимо за установяването, упражняването или защитата на правни претенции;

е)

предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие; или

ж)

предаването се извършва от регистър, който съгласно правото на Съюза е предназначен за предоставяне на информация на обществеността и е открит за извършване на справки от широката общественост или от всяко лице, което може да докаже законен интерес, но само при условие че в конкретния случай са изпълнени предвидените в правото на Съюза условия за извършване на справки.

2.   Параграф 1, букви а), б) и в) не се прилага за дейности, извършвани от институциите и органите на Съюза при упражняването на техните публични правомощия.

3.   Общественият интерес, посочен в параграф 1, буква г), трябва да е признат в правото на Съюза.

4.   Предаването съгласно параграф 1, буква ж) не трябва да включва всички лични данни или всички категории лични данни, съдържащи се в регистъра, освен ако това е разрешено от правото на Съюза. Когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването се извършва единствено по искане на тези лица или ако те са получателите.

5.   При липсата на решение относно адекватното ниво на защита правото на Съюза може по важни причини от обществен интерес изрично да определи ограничения за предаването на специални категории от лични данни на трета държава или международна организация.

6.   Институциите и органите на Съюза информират Европейския надзорен орган по защита на данните за категориите случаи, в които настоящият член е бил приложен.

Член 51

Международно сътрудничество за защита на личните данни

По отношение на трети държави и международни организации Европейският надзорен орган по защита на данните, в сътрудничество с Комисията и Европейския комитет по защита на данните, предприема подходящи мерки за:

а)

разработване на механизми за международно сътрудничество с цел подпомагане ефективното прилагане на законодателството за защита на личните данни;

б)

осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация, при условие че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в)

включване на съответните заинтересовани страни в обсъждания и дейности, насочени към насърчаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г)

насърчаване на обмена и документирането на законодателството и практиките в областта на защитата на личните данни, включително относно спорове за компетентност с трети държави.

ГЛАВА VI

ЕВРОПЕЙСКИ НАДЗОРЕН ОРГАН ПО ЗАЩИТА НА ДАННИТЕ

Член 52

Европейският надзорен орган за защита на личните данни;

1.   Създава се Европейският надзорен орган по защита на данните.

2.   По отношение на обработването на лични данни задачата на Европейския надзорен орган по защита на данните е да гарантира спазването от страна на институциите и органите на Съюза на основните права и свободи на физическите лица, и по-специално правото им на защита на данните.

3.   Европейският надзорен орган по защита на данните отговаря за наблюдението и гарантирането на прилагането на разпоредбите на настоящия регламент и всеки друг акт на Съюза, който се отнася до защитата на основните права и свободи на физическите лица по отношение на обработването на лични данни от институция или орган на Съюза, както и за предоставянето на консултации на институциите и органите на Съюза и субектите на данни по всички въпроси, свързани с обработването на лични данни. За тази цел Европейският надзорен орган по защита на данните изпълнява задачите, определени в член 57, и упражнява правомощията, предоставени съгласно член 58.

4.   Регламент (ЕО) № 1049/2001 се прилага по отношение на документите, съхранявани от Европейския надзорен орган по защита на данните. Европейският надзорен орган по защита на данните приема подробни правила за прилагането на Регламент (ЕО) № 1049/2001 по отношение на тези документи.

Член 53

Назначаване на Европейския надзорен орган по защита на данните

1.   Европейският надзорен орган по защита на данните се назначава с общо съгласие от Европейския парламент и Съвета за срок от пет години въз основа на съставен от Комисията списък след публично отправена покана за представяне на кандидатури. Поканата за представяне на кандидатури предоставя възможност на всички заинтересовани страни в Съюза да представят своите кандидатури. Съставеният от Комисията списък на кандидатите е публичен и включва най-малко трима кандидати. Въз основа на списъка, съставен от Комисията, компетентната комисия на Европейския парламент може да реши да проведе изслушване, за да получи възможност да изрази предпочитанията си.

2.   Списъкът от кандидатите, посочен в параграф 1, се състои от лица, чиято независимост не подлежи на съмнение и за които е признато, че притежават експертни познания в областта на защитата на данни, както и необходимите опит и умения, за да изпълняват задълженията на Европейски надзорен орган по защита на данните.

3.   Мандатът на Европейския надзорен орган по защита на данните може да бъде подновен еднократно.

4.   Задълженията на Европейския надзорен орган по защита на данн